Door MongoBleed kunnen gegevens gelekt worden zonder dat aanvallers zich moeten authenticeren.
Beveiligingsonderzoekers waarschuwen voor een ernstige kwetsbaarheid in MongoDB die actief is uitgebuit. De kwetsbaarheid krijgt de naam MongoBleed (CVE-2025-14847). Meer dan 80.000 MongoDB-servers zouden wereldwijd kwetsbaar zijn en direct via het internet bereikbaar.
De kwetsbaarheid heeft een CVSS-score van 8,7 en laat aanvallers toe om gevoelige gegevens uit het geheugen van een MongoDB-server te lekken, zonder dat daarvoor authenticatie vereist is.
Geheugenlek
MongoBleed gebeurt bij het netwerkverkeer dat MongoDB verwerkt en gecomprimeerd is met zlib, schrijft MongoDB in een beveiligingsadvies. Door een fout in de controle van gedecomprimeerde data kan een aanvaller een gemanipuleerd netwerkpakket sturen dat leidt tot het lekken van willekeurige stukken geheugen.
Daarin kunnen onder meer databasewachtwoorden, API- en cloud-sleutels, sessietokens, PII, configuraties en interne logs zitten. Omdat de decompressie plaatsvindt vóór de authenticatiefase, zijn geen geldige inloggegevens nodig.
Actief misbruikt
De kwetsbaarheid wordt inmiddels actief misbruikt. Er circuleert een proof-of-concept-exploit, ontwikkeld door onderzoekers. Volgens een securityonderzoeker hebben aanvallers enkel het IP-adres van een MongoDB-database nodig om gevoelige informatie uit het geheugen te halen.
Censys telde eind december meer dan 87.000 potentieel kwetsbare MongoDB-instances, met de meeste in de VS, China en Duitsland. Cloudbeveiligingsbedrijf Wiz stelt dat 42 procent van de zichtbare omgevingen minstens één kwetsbare MongoDB-versie draait, zowel intern als publiek toegankelijk.
lees ook
Beveiligingslek ontdekt in Mongoose maakt MongoDB kwetsbaar
Patchen alleen is niet genoeg
Onderzoekers benadrukken dat updaten noodzakelijk is, maar ook dat er extra maatregelen vereist zijn. Recon InfoSec waarschuwt dat organisaties ook moeten nagaan of ze reeds gecompromitteerd zijn. Dat kunnen ze onder andere doen door de IP-adressen na te kijken. Een bron-IP met zeer veel verbindingen zonder bijhorende metadata in MongoDB-logs wijst dat van een aanvaller.
MongoDB raadt aan om onmiddellijk te upgraden naar een veilige versie, waaronder:
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30
Ook alle oudere 4.2-, 4.0- en 3.6-versies zijn kwetsbaar.
Klanten van MongoDB Atlas zijn automatisch gepatcht. Wie niet kan upgraden, kan als tijdelijke maatregel zlib-compressie uitschakelen. MongoDB adviseert om over te stappen op Zstandard (zstd) of Snappy als veiligere alternatieven.