概念実証(PoC)コードと技術的詳細が公開された直後から、脅威アクターが深刻度の高いMongoDBの脆弱性を悪用し始めた。
CVE-2025-14847として追跡されているこの欠陥はZlib圧縮プロトコルに影響し、認証なしで初期化されていないヒープメモリを読み取ることを攻撃者に許す。
このバグのパッチは12月19日にリリースされ、MongoDBは悪用に成功するとメモリリークにつながる可能性があると警告した。
MongoBleedと名付けられたこの問題は、細工された圧縮メッセージを介して悪用でき、解析時にサーバーが伸長後データの長さではなく、割り当てられたメモリ量を返すようにさせる。
クリスマスイブには、Ox Securityがこのセキュリティ欠陥の技術分析を公開し、MongoDBサーバーから機密情報を抽出するためにどのように悪用できるかを説明した。
2日後、Elastic SecurityのJoe Desimoneがこの脆弱性のPoCエクスプロイトを公開し、セッショントークン、パスワード、APIキー、その他の機密データの抽出に利用できる。
Ox Securityによれば、このMongoDBの脆弱性は複数の不正なリクエストを送ることでデータベース全体を漏えいさせるために悪用できるという。
Wizによると、欠陥のあるネットワークメッセージの伸長ロジックは認証前に処理されるため、攻撃者は有効な認証情報やユーザー操作なしに、メモリ上の機密データの断片を漏えいさせられる。
「この脆弱性は認証前に到達可能で、ユーザー操作も不要なため、インターネットに公開されたMongoDBサーバーは特にリスクが高い」とWizは指摘している。
MongoBleedが実環境で悪用される
Wizは、PoCエクスプロイトの公開直後からMongoBleedの悪用が始まったと警告し、クラウド環境のおよそ42%に脆弱なMongoDBインスタンスが存在すると指摘している。
Censysは、世界中で87,000台を超える脆弱なMongoDBサーバーを観測した。セキュリティ研究者のKevin Beaumontによれば、インスタンスは200,000超に上るという。
「これが今や非常に簡単に悪用できるようになった――ハードルが取り払われた――ため、大規模な悪用とそれに伴うセキュリティインシデントが発生する可能性は高いと見込まれる」とBeaumontは述べている。
この脆弱性はMongoDBのバージョン8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30で修正された。組織は自己管理のインスタンスをできるだけ早く更新するか、悪用を防ぐためにサーバー側でZlib圧縮を無効化すべきである。
ただし更新の前に、管理者はMongoDBサーバーのログを確認して侵害の兆候を探索すべきだと、Recon InfoSec共同創業者のEric Capuanoは指摘している。
翻訳元: https://www.securityweek.com/fresh-mongodb-vulnerability-exploited-in-attacks/
