Een open-source detectietool moet organisaties helpen om uitbuiting van MongoBleed (CVE-2025-14847) op te sporen. De kritieke kwetsbaarheid in MongoDB-databases wordt actief misbruikt en treft wereldwijd tienduizenden servers.
De kwetsbaarheid maakt het mogelijk voor aanvallers om gevoelige informatie uit het servergeheugen te halen, zonder dat authenticatie nodig is. Met name credentials, sessietokens en persoonsgegevens zijn potentieel lucratieve vondsten voor cyberaanvallers. Verschillende autoriteiten en securitybedrijf Wiz waarschuwen voor actieve exploitaties.
Het probleem zit in het zlib-decompressiemechanisme van MongoDB en treft versies 4.4 tot en met 8.2.2. Wiz Research rapporteert dat 42 procent van cloudomgevingen minstens één kwetsbare MongoDB-instantie heeft, inclusief zowel publiek bereikbare als interne bronnen. Censys identificeerde wereldwijd circa 87.000 potentieel kwetsbare instanties.
Hoe de detector werkt
De MongoBleed Detector is een offline command-line tool die MongoDB JSON-logs analyseert. De tool heeft geen netwerkverbinding of extra agents nodig, wat deze geschikt maakt voor forensisch onderzoek en incident response.
Het detectiemechanisme correleert drie typen MongoDB-logevents: geaccepteerde verbinding (22943), client metadata (51800) en gesloten verbinding (22944). Legitieme MongoDB-drivers sturen altijd onmiddellijk metadata na het maken van verbinding. De MongoBleed-exploit daarentegen maakt verbinding, extraheert geheugen en verbreekt de verbinding zonder enige metadata te versturen.
De tool identificeert verdachte patronen op basis van hoge verbindingsvolumes vanaf één IP-adres, de afwezigheid van client metadata en kortdurend burstgedrag dat de 100.000 verbindingen per minuut overschrijdt. Het systeem ondersteunt gecomprimeerde logs, werkt met zowel IPv4 als IPv6 en biedt risicoclassificatie over vier niveaus: HIGH, MEDIUM, LOW en INFO.
Daarnaast bevat de tool een Python-wrapper voor remote execution via SSH. Hiermee kunnen securityteams meerdere MongoDB-instanties tegelijk scannen. De detector beschikt ook over een forensische folder-modus voor het analyseren van bewijs dat van meerdere hosts is verzameld.
Getroffen versies en patches
De kwetsbaarheid treft specifiek de MongoDB-versies 8.2.0 tot 8.2.2, 8.0.0 tot 8.0.16, 7.0.0 tot 7.0.27, 6.0.0 tot 6.0.26, 5.0.0 tot 5.0.31 en 4.4.0 tot 4.4.29. Tevens zijn alle versies van MongoDB Server v4.2, v4.0 en v3.6 kwetsbaar.
Organisaties die kwetsbare MongoDB-versies draaien, moeten direct beschikbare patches toepassen en de detector gebruiken om mogelijk misbruik te onderzoeken. De huidige exploitaties moeten daarnaast niet als een verrassing komen. Het Nederlandse NCSC verwachtte al snel misbruik van deze kwetsbaarheid. Voor wie niet direct kan patchen: schakel zlib-compressie uit door het expliciet weg te laten uit networkMessageCompressors of net.compression.compressors. Alternatieven zijn snappy, zstd of compressie volledig uitschakelen.
MongoDB heeft patches uitgebracht voor de getroffen versies: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 en 4.4.30. MongoDB Atlas-instanties zijn automatisch geüpgraded en vereisen geen actie van klanten. Een werkende exploit is sinds 26 december 2025 publiek beschikbaar, waarna kort daarna meldingen van exploitatie in the wild volgden.
Lees ook: Is React2Shell het nieuwe Log4Shell?