米国およびオーストラリアのサイバー機関は、クリスマス休暇中に明らかになった脆弱性がハッカーに悪用されており、MongoDB社のデータストレージシステムに影響を及ぼしていることを確認した。
この問題は12月25日、著名な研究者がCVE-2025-14847のエクスプロイトコードを公開したことで懸念を呼んだ。同脆弱性はMongoDBが12月15日に発表し、12月19日に修正パッチが提供されたものだ。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜夜、このバグを既知の悪用されている脆弱性カタログに追加し、すべての連邦政府民生機関に対し1月19日までにパッチを適用するよう命じた。CISAの広報担当者は、影響を受ける可能性のある人々を保護するために米国の機関が何をしているのかについて、これ以上の質問への回答を拒否した。
オーストラリアのサイバーセキュリティセンターは勧告の中で、「この脆弱性が世界的に活発に悪用されていることを認識している」と述べた。
この脆弱性は、MongoDBのデータベース管理システムの複数バージョンに影響する。
このバグは、過去の複数の脆弱性(CitrixBleedバグを含む)になぞらえて「MongoBleed」と命名された。
サイバーセキュリティ研究者のエリック・カプアーノは、このエクスプロイトは「MongoDBサーバーに非常に短時間で多数の接続を確立することで機能する――1分あたり数万回の規模だ」と述べた。
「各接続がメモリリークを探り、攻撃者は漏えいしたデータを集約して機微情報を再構成する」と彼は付け加えた。
サイバーセキュリティ企業Rapid7で脆弱性インテリジェンス担当ディレクターを務めるダグラス・マッキーはRecorded Future Newsに対し、この脆弱性は特定の条件下で認証制御を回避するアクセス経路を可能にし、インターネットに露出した数千のMongoDB導入環境に影響すると語った。
複数の組織のサイバーセキュリティ専門家が、このバグに関連する露出レベルについて警告した。サイバー企業Wizは、クラウド環境の42%にCVE-2025-14847の影響を受けるMongoDBバージョンのインスタンスが少なくとも1つ存在すると発見し、同社の専門家は「インターネットに面した多くのインスタンスが悪用可能である」ことを確認した。
Censysは世界で約87,000件の潜在的に脆弱なインスタンスを観測したと報告し、Shadowserver Foundationはその数を74,854と示した。
Rapid7のマッキーは、同様の大規模な露出が、容易なアクセス経路と組み合わさることで、歴史的に迅速で機会主義的な悪用につながってきたと述べた。
「この問題は、従来型のエクスプロイトチェーンが存在しない場合でも、露出とアクセス制御の失敗が実質的なリスクを生み得ることを浮き彫りにしている」と彼は述べた。
「同様のMongoDB露出問題に関する過去のパターンに基づけば、最も起こり得る悪用は、標的型や国家主体のキャンペーンではなく、機会主義的な攻撃者による広範なインターネットスキャンだろう。」
彼はまた、MongoDBは小規模なスタートアップやSaaS(ソフトウェア・アズ・ア・サービス)提供者から、大企業や政府環境に至るまで幅広く利用されていると付け加えた。
サイバーセキュリティ専門家のケビン・ボーモントは週末にエクスプロイトコードを検証し、これにより誰でもデータベースのパスワードやAWSのシークレットキーなどを盗めると述べた。
翻訳元: https://therecord.media/us-australia-bug-exploitation
