インターネットに露出した数万件のMongoDBデータベースが、攻撃者がソフトウェアの重大な脆弱性を積極的に狙って機密データを盗み出しているため、危険にさらされている。
CVE-2025-14847として追跡されているこの脆弱性は、脆弱なデータベースから秘密情報を「出血」させる能力にちなんで「MongoBleed」と名付けられた。この欠陥は、2017年以降にリリースされたドキュメント指向データベースソフトウェアのすべてのバージョンに存在する。
この脆弱性は、MongoDBにおけるzlib圧縮・伸長ソフトウェアの実装に存在する。「圧縮が有効になっている場合(性能のために有効であることが多い)、攻撃者はサーバーが応答内でメモリの断片を漏えいするような接続を細工できる」と、セキュリティ研究者のEric Capuanoは述べた。
欠陥の完全な技術詳細を最初に公開したOX Securityの研究者は、「不正に形成されたネットワークパケットを送るだけで」、「攻撃者はMongoDBサーバーからユーザー情報、パスワード、APIキーなどを含む機密情報を抽出できる」と述べた。
十分な時間があれば、攻撃者は自己ホストされた脆弱なデータベースの完全なコピーを取得することも可能だという。
オープンソースのMongoDBソフトウェアは広く利用されており、金融サービス、製薬、小売、自動車、政府など、あらゆる分野の大規模組織でも使われている。
Shadowserver Foundationは、月曜日に実施したインターネットスキャンで、インターネットに露出したMongoDBインスタンス総数78,725件のうち、脆弱で未パッチのMongoDBが74,854件あったと述べた。
最も多かったのは中国で、IPアドレス16,800件を占めた。次いで米国が13,300件、ドイツが7,200件、フランスが5,100件だった。
Shadowserverは、特定できた一部の組織に直接通知しているという。「当方からアラートを受け取った場合は、侵害の有無を確認してほしい」と述べた。専門家はまた、たとえインターネットに露出していない内部サーバーであっても、攻撃者がネットワークに侵入して横展開できる場合にはリスクがあると警告した。
MongoDBを開発する同名企業は12月19日、この欠陥に関する公開アラートを初めて発出し、オープンソースソフトウェアの直近6リリースのいずれかを自己ホストしている人向けにパッチを提供した。古いバージョンはパッチ提供されない。「直ちにアップグレードすることを強く推奨する」と、オープンソースソフトウェアを開発し商用サポートを販売する上場企業であるニューヨーク拠点のMongoDB Inc.は述べた。「すぐにアップグレードできない場合は、MongoDB Serverでzlib圧縮を無効化してほしい。」
MongoBleedが積極的に悪用されているとの報道を受け、同社株は月曜日に2.9%下落した。同社は、Coinbase、Epic Games、NASA、Novo Nordisk、Toyota、Verizon、Victoria’s Secret、Volkswagenなどを顧客として挙げている。
MongoDBは自己ホスト環境向けに、アクセス制御の有効化や認証の強制など、複数のセキュリティ対策を推奨しているが、これらは任意である。
「MongoDBには認証機能があるが、多くのケースでこの認証が有効化されていない」とShadowserver Foundationは述べた。
パッチ適用済みのMongoDBバージョンは、8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30である。元の脆弱性一覧では8.2.3に脆弱性が含まれると記載されていたが、メンテナは当該バージョンには修正が含まれていると明確化した。
この脆弱性は、MongoDB Serverの過去3つのリリース(4.2、4.0、3.6)にも存在するが、これらにはパッチが提供されていない。
MongoDB CTOのJim Scharfは月曜日のブログ投稿で、「MongoDB Server製品(CommunityおよびEnterprise)におけるこの修正済みセキュリティ脆弱性は、MongoDB、MongoDB Atlas(当社のマネージドMongoDB Server提供)または当社システムの侵害や漏えいではない」と述べた。
同社が管理するMongoDBのAtlas版はパッチ適用済みで、悪用された形跡はないようだ。
MongoDBが公開したタイムラインによると、同社のセキュリティチームは12月12日に欠陥を初めて検知し、修正を開発・テストしたうえで12月15日に展開を開始し、12月17日までに自己管理のAtlasインスタンスの大半にパッチを適用した。12月19日に、この欠陥に関する公開セキュリティアラートとパッチを公開した。
セキュリティ研究者のJoe Desimoneは木曜日、この欠陥の概念実証(PoC)エクスプロイトを公開し、その後、研究者らは当該脆弱性を狙った攻撃が観測されたと報告した。
Desimoneは、このエクスプロイトを「HeartBleedを想起させる」ことからMongoBleedと呼んだ。HeartBleedは、クライアントとサーバー間で送信されるデータを保護するために用いられるSSL/TLSプロトコルのオープンソース実装であるOpenSSLの脆弱性の通称で、2014年に発見されパッチが提供された。
英国のサイバーセキュリティ専門家Kevin Beaumontは土曜日のブログ投稿で、PoCエクスプロイトが説明どおりに動作することを確認したと述べた。「MongoDBインスタンスのIPアドレスを与えるだけで、データベースのパスワード(平文)やAWSのシークレットキーなど、メモリ内のものを掘り起こし始める。エクスプロイトは、そうした種類の認証情報や秘密情報を特に探すようにもなっている」と彼は述べた。
進行中の積極的な悪用
オーストラリアと米国のサイバーセキュリティ機関は月曜日、この脆弱性が攻撃者によって世界的に積極的に悪用されていると警告した。米国サイバーセキュリティ・インフラ安全保障庁(CISA)はこの脆弱性を、既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに追加し、連邦政府の民間機関に対して1月19日までに緩和策を適用するか、当該製品の使用を中止するよう期限を設定した。
セキュリティチームがMongoBleedの悪用の試行または成功の兆候を特定できるよう、Capuanoは土曜日、MongoDBなどのソフトウェアからログを収集・分析するために設計されたオープンソースのデジタル・フォレンジック/インシデント対応ツール「Velociraptor」向けに、CVE-2025-14847の「アーティファクト」を公開した。
Capuanoによれば、このアーティファクトは公開済みのPoCエクスプロイトを攻撃者が使用しようとした際に検知するよう設計されている。攻撃者がそのPoCを改変したり、挙動を隠すための手段を講じたりした場合、検知できない可能性がある。
Beaumontは月曜日、ランサムウェア集団がDesimoneの公開したPoCスクリプトmongobleed.pyを用いて大規模にこの脆弱性を悪用しようとしていると述べ、侵害が容易であることから、より広範な悪用が進むと見込んでいる。
良い知らせは、パッチが利用可能で、緩和策の助言も容易に入手できることだ。「落ち着いて、インターネットに面した資産にパッチを当てよう」とBeaumontは述べた。
翻訳元: https://www.databreachtoday.com/75000-mongodbs-exposed-as-attackers-exploit-mongobleed-a-30414
