Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Exploited MongoBleed flaw leaks MongoDB secrets, 87K servers exposed

1 minute de lecture

Mis à jour :

Vulnérabilité MongoBleed : Fuite de secrets et serveurs exposés

Une faille critique, nommée MongoBleed et identifiée sous la référence CVE-2025-14847, affecte plusieurs versions de MongoDB et est activement exploitée. Cette vulnérabilité permet à des attaquants de voler des informations sensibles, telles que des identifiants, des clés d’API ou des informations personnelles, à distance.

Points clés :

  • Mécanisme d’exploitation : La faille réside dans la gestion des paquets réseau par MongoDB, particulièrement lors de la décompression via la librairie zlib. Un attaquant peut envoyer un message malformé qui amène le serveur à allouer un tampon mémoire excessif et à divulguer des données sensibles s’y trouvant. L’exploitation ne nécessite pas d’authentification préalable.
  • Données compromises : Il est possible de récupérer des identifiants, des clés cloud (comme AWS), des jetons de session, des informations personnelles identifiables (PII), des journaux internes, des configurations, et d’autres données clients.
  • Étendue de l’exposition : Plus de 87 000 serveurs MongoDB potentiellement vulnérables ont été identifiés sur Internet. Les États-Unis, la Chine et l’Allemagne comptent le plus grand nombre de ces serveurs exposés. Les environnements cloud sont également touchés, avec 42% des systèmes analysés présentant au moins une version vulnérable.
  • Détection : Des méthodes de détection basées sur l’analyse des journaux MongoDB ont été développées, permettant d’identifier des comportements suspects tels qu’un grand nombre de connexions provenant d’une seule IP sans métadonnées associées.

Vulnérabilités :

  • CVE-2025-14847 (MongoBleed) : Permet l’exfiltration de données sensibles en mémoire via un problème de gestion de la décompression zlib.

Recommandations :

  • Mise à jour : Il est impératif de mettre à jour les instances MongoDB vers une version corrigée. Les versions recommandées incluent 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, et 4.4.30.
  • Désactivation de zlib : Si la mise à jour n’est pas immédiatement possible, il est conseillé de désactiver la compression zlib sur le serveur.
  • Vérification post-exploitation : Rechercher des signes de compromission sur les systèmes affectés.
  • Alternatives de compression : Envisager l’utilisation d’outils de compression sans perte alternatifs et sécurisés comme Zstandard (zstd) ou Snappy.
  • Pour MongoDB Atlas : Les clients utilisant MongoDB Atlas ont reçu la correction automatiquement.

Source

Vous pourriez aimer