セキュリティ研究者は、複数のMongoDBバージョンに影響する重大なメモリ情報漏えい脆弱性であるMongoBleed(CVE-2025-14847)の悪用の可能性を組織が特定できるよう支援する、オープンソースの検出ツールを公開しました。
Neo23x0が開発したMongoBleed Detectorは、ネットワーク接続や追加エージェントを必要とせずに、MongoDBログを悪用の兆候についてスキャンできるオフライン分析機能をインシデント対応担当者に提供します。
MongoBleedは、MongoDBのzlib展開(解凍)メカニズムに存在する深刻なセキュリティ欠陥であり、攻撃者が認証なしにサーバーメモリから直接機密データを抽出できるようにします。
この脆弱性により、脅威アクターは、クライアントメタデータを伴わない大量接続を用いる標準的な攻撃パターンを通じて、認証情報、セッショントークン、個人を特定できる情報(PII)を収集できます。
検出ツールは、悪用の試行を特定するために、3種類の特定のMongoDBログイベントを相関させます。
接続受け入れイベント、クライアントメタデータ送信、接続終了記録をまとめて分析し、行動ベースラインを確立します。
正当なMongoDBドライバーは、接続確立直後に一貫してメタデータを送信しますが、MongoBleedの悪用は、接続してメモリ内容を抽出し、メタデータを送信せずに切断します。
この行動上の異常が、検出手法の基盤となっています。
この検出器は、大規模なログファイルを効率的に処理するストリーミング処理機能、ローテーションされたアーカイブ向けの圧縮ログ対応、IPv4およびIPv6アドレッシングの両方との互換性を備えています。
組織は自社環境に基づいて検出しきい値を設定でき、ツールは検出結果をHIGH、MEDIUM、LOW、INFOの重大度カテゴリに分類します。
この脆弱性は3.6.xから8.2.xまでのMongoDBバージョンに影響し、現在サポートされているリリース向けにパッチが提供されています。
バージョン8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30には、この欠陥の修正が含まれています。サポート終了(EOL)の4.2.x、4.0.x、3.6.xを運用している組織は、利用可能なパッチがないため継続的にリスクにさらされており、サポート対象リリースへの即時アップグレードが必要です。
インストールは、GitHubリポジトリをクローンし、MongoDBログディレクトリに対してbashスクリプトを実行することで行います。
このツールが必要とする依存関係は最小限で、JSON処理用のjq、テキスト操作用のawk、圧縮ログ処理用のgzipです。
これにより、攻撃者がフォレンジック証拠を最小化する高度な手法を用いた場合でも、信頼性の高い検出が可能になります。
翻訳元: https://cyberpress.org/mongobleed-under-active-exploitation/