- Автор темы
- #1
Исправленную на прошлой неделе RCE-уязвимость CVE-2025-14847, также получившую имя MongoBleed, уже эксплуатируют хакеры. ИБ-специалисты предупреждают, что в сети по-прежнему доступно более 87 000 уязвимых серверов.
Напомним, что проблема в MongoDB, получившая идентификатор CVE-2025-14847, позволяет неаутентифицированным удаленным атакующим выполнять произвольный код на незащищенных серверах и извлекать данные из памяти уязвимых инстансов (включая учетные данные и ключи аутентификации).
Уязвимость была связана с некорректной обработкой расхождений в параметре длины (Improper Handling of Length Parameter Inconsistency), что позволяло выполнять произвольный код и потенциально захватывать контроль над целевыми серверами.
Уязвимость затрагивает множество версий MongoDB и MongoDB Server:
Нужно отметить, что для проблемы MongoBleed уже доступны PoC-эксплоиты. К примеру, аналитик компании Elastic создал эксплоит, который ориентирован именно на утечку конфиденциальных данных из памяти.
После этой публикации известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) предупреждал, что представленный эксплоит является полностью функциональным, а для атаки потребуются лишь «IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к БД (которые представляют собой простой текст), секретные ключи AWS и так далее».
Бомонт демонстрирует похищающий секреты эксплоит
При этом, согласно статистике платформы Censys, по состоянию на 27 декабря в интернете можно было обнаружить более 87 000 потенциально уязвимых экземпляров MongoDB. Большинство из них находятся в США (почти 20 000 серверов), а около 2000 установок приходится на Россию.
В свою очередь специалисты компании Wiz сообщали, что уязвимость может оказать значительное влияние на облачные среды, так как 42% всех наблюдаемых ими систем «имеют как минимум один инстанс MongoDB в версии, уязвимой перед CVE-2025-14847».
В своем отчете эксперты подчеркивают, что уже фиксируют эксплуатацию MongoBleed в реальных атаках и рекомендуют организациям срочно выделить время на обновление. Точные детали, касающиеся характера этих атак, в настоящее время не раскрываются.
Специалисты призывают помнить о том, что одних патчей уже может быть недостаточно. Организациям необходимо проверять свои системы на предмет следов компрометации. Флориан Рот (Florian Roth), создатель сканера для поиска APT-угроз THOR и тысяч YARA-правил, уже разработал инструмент MongoBleed Detector. Утилита парсит логи MongoDB и помогает выявить потенциальную эксплуатацию CVE-2025-14847.
Напомним, что проблема в MongoDB, получившая идентификатор CVE-2025-14847, позволяет неаутентифицированным удаленным атакующим выполнять произвольный код на незащищенных серверах и извлекать данные из памяти уязвимых инстансов (включая учетные данные и ключи аутентификации).
Уязвимость была связана с некорректной обработкой расхождений в параметре длины (Improper Handling of Length Parameter Inconsistency), что позволяло выполнять произвольный код и потенциально захватывать контроль над целевыми серверами.
Уязвимость затрагивает множество версий MongoDB и MongoDB Server:
- MongoDB 8.2.0 — 8.2.3;
- MongoDB 8.0.0 — 8.0.16;
- MongoDB 7.0.0 — 7.0.26;
- MongoDB 6.0.0 — 6.0.26;
- MongoDB 5.0.0 — 5.0.31;
- MongoDB 4.4.0 — 4.4.29;
- все версии MongoDB Server 4.2;
- все версии MongoDB Server 4.0;
- все версии MongoDB Server 3.6.
Нужно отметить, что для проблемы MongoBleed уже доступны PoC-эксплоиты. К примеру, аналитик компании Elastic создал эксплоит, который ориентирован именно на утечку конфиденциальных данных из памяти.
После этой публикации известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) предупреждал, что представленный эксплоит является полностью функциональным, а для атаки потребуются лишь «IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к БД (которые представляют собой простой текст), секретные ключи AWS и так далее».
Бомонт демонстрирует похищающий секреты эксплоитПри этом, согласно статистике платформы Censys, по состоянию на 27 декабря в интернете можно было обнаружить более 87 000 потенциально уязвимых экземпляров MongoDB. Большинство из них находятся в США (почти 20 000 серверов), а около 2000 установок приходится на Россию.
В свою очередь специалисты компании Wiz сообщали, что уязвимость может оказать значительное влияние на облачные среды, так как 42% всех наблюдаемых ими систем «имеют как минимум один инстанс MongoDB в версии, уязвимой перед CVE-2025-14847».
В своем отчете эксперты подчеркивают, что уже фиксируют эксплуатацию MongoBleed в реальных атаках и рекомендуют организациям срочно выделить время на обновление. Точные детали, касающиеся характера этих атак, в настоящее время не раскрываются.
Напомним, что по неподтвержденным данным, масштабная атака на серверы тактического шутера Rainbow Six Siege компании Ubisoft, произошедшая в минувшие выходные, тоже может быть связана с эксплуатацией MongoBleed.
Специалисты призывают помнить о том, что одних патчей уже может быть недостаточно. Организациям необходимо проверять свои системы на предмет следов компрометации. Флориан Рот (Florian Roth), создатель сканера для поиска APT-угроз THOR и тысяч YARA-правил, уже разработал инструмент MongoBleed Detector. Утилита парсит логи MongoDB и помогает выявить потенциальную эксплуатацию CVE-2025-14847.