サイバーセキュリティの専門家たちは2025年の締めくくりにあたり、またしても情報漏えいの脆弱性に直面している。脅威ハンターや研究者が「bleed(ブリード)」の接尾辞で呼ばれた過去の欠陥に匹敵する影響を避けようと奔走する中、広範な懸念が広がっている。
MongoBleed — CVE-2025-14847 — は、デフォルト設定の多くのMongoDBバージョンに影響する高深刻度の脆弱性で、未認証の攻撃者がサーバーメモリを漏えいさせることを可能にする。そこには認証情報やトークンなどの機微なデータが含まれる可能性がある。MongoDBは12月19日にこの脆弱性を開示し、12月26日に公開PoC(概念実証)がリリースされると懸念が一段と高まった。
複数のサイバーセキュリティ企業は、この脆弱性が実環境で積極的に悪用されていると報告しており、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は月曜日、この欠陥を既知の悪用済み脆弱性カタログに追加した。
MongoDBは、ほぼ遍在するオープンソースのデータベースだ。Wizの研究者は、クラウド環境の42%に、CVE-2025-14847の影響を受けるMongoDBバージョンのインスタンスが少なくとも1つ含まれていると述べており、公開されているリソースと内部リソースの双方が含まれる。
Shadowserverのスキャンでは、月曜日に公開露出している約79,000件のインスタンスのうち、パッチ未適用の可能性があるMongoDBが約75,000件見つかった。Censysは土曜日、MongoDBの潜在的に脆弱なインスタンスが87,000件超あるのを観測したと述べた。
侵害のリスクがある、公開されたインスタンスの集中度が最も高い国には、中国、米国、ドイツ、フランス、香港、インド、シンガポールが含まれる。
CVSSスコアが8.7のこの欠陥は、「インストールベースの規模、悪用の容易さ、そして痕跡(フォレンジック)として残る証拠が乏しいことから懸念される」と、Wizの戦略的脅威インテリジェンス担当ディレクターであるベン・リード氏はCyberScoopに語った。「メモリリークの脆弱性であるため、ディスク上にマルウェアが残らず、データにアクセスされたという永続的なフォレンジック証拠も残らない。」
Wizは悪用の試行と、積極的な悪用の証拠を観測しているが、その悪意ある活動を特定の脅威グループに帰属させることはできていないと、リード氏は述べた。「過去の前例に基づけば、非常に多様なアクターによって悪用されていると見ている。」
脅威ハンターが厳戒態勢にある一方で、攻撃に関する重要な詳細や、大規模に悪用された場合の潜在的影響についての情報は限られている。
「現実世界の攻撃の詳細が、これまでのところ妙に不足している」と、VulnCheckのリサーチ担当バイスプレジデントであるケイトリン・コンドン氏はCyberScoopに語った。
「MongoBleedに関する現在の公開情報の多くは、公開PoCがあるのだから悪用は容易だと想定しているように見えるが、攻撃者はそれでも攻撃フローから有用なデータを取り出せなければならない。そこが本当に容易なのかは、まだ明確ではないと思う」と彼女は付け加えた。
それでも、この脆弱性に対する攻撃者の関心は高まっている。月曜日時点で、VulnCheckは十数件を超える公開PoCを追跡しており、その一部は有効であるように見える。
MongoDBは顧客に対し、できるだけ早く修正済みバージョンへアップグレードするよう促しており、影響範囲は広く、脆弱なバージョンは2017年までさかのぼると指摘している。
また、年末年始のダウンタイムが可視性に影響し、トリアージや侵害の証拠を探すためのハンティング作業を遅らせている可能性もある。
「今週は多くのセキュリティチームで稼働が落ちている可能性が高く、そのことが、観測される悪用の詳細や脅威アクターの帰属に関する情報が出てくるまでの期間を長引かせる一因になり得る」と、コンドン氏は述べた。
翻訳元: https://cyberscoop.com/mongobleed-vulnerability-mongodb-exploitation/
