Разыгрываем три Flipper Zero и три Raspberry Pi 5
Image

ФЛИППЕР ИЛИ МАЛИНКА?

Подпишись на каналы и выиграй один из шести топовых девайсов для своих ИТ-проектов в новом году!

С Новым годом, MongoDB. Праздничный эксплойт оставил сисадминов без выходных, а 87000 баз – без защиты

MongoDB CVE-2025-14847 CISA США Австралия
С Новым годом, MongoDB. Праздничный эксплойт оставил сисадминов без выходных, а 87000 баз – без защиты
MongoDB CVE-2025-14847 CISA США Австралия

Уязвимость MongoBleed позволяет вытаскивать чувствительные данные из MongoDB, и волна сканирования уже идет.

image

Американские и австралийские киберведомства подтвердили, что хакеры уже используют свежую уязвимость в системах хранения данных на базе MongoDB. Проблема проявилась в праздничные дни и быстро привлекла внимание специалистов, потому что открывает путь к утечке чувствительной информации из баз данных.

Речь идёт о CVE-2025-14847. MongoDB сообщила о ней 15 декабря и выпустила исправление 19 декабря, но 25 декабря один из известных исследователей опубликовал рабочий код для эксплуатации. После этого ситуация стала развиваться по классическому сценарию: как только появляется публичный эксплойт, число попыток атак обычно резко растёт, и на этот раз, судя по предупреждениям ведомств, так и произошло.

Агентство CISA 29 декабря внесло уязвимость в список активно эксплуатируемых и обязало федеральные гражданские ведомства установить исправления до 19 января. В CISA не уточнили, какие меры предпринимаются для защиты потенциально затронутых организаций и пользователей. Австралийский центр кибербезопасности также выпустил предупреждение и заявил, что знает об активной эксплуатации уязвимости по всему миру.

По данным исследователей, проблема затрагивает широкий набор версий системы управления базами данных MongoDB. Уязвимость уже получила неофициальное название MongoBleed, по аналогии с другими громкими проблемами последних лет, где в названии обыгрывалась тема «утечки» данных.

Исследователь Эрик Капуано объясняет механику атаки простыми словами: злоумышленник устанавливает с сервером огромное количество быстрых соединений, речь может идти о десятках тысяч в минуту. Эти соединения проверяют систему на утечки памяти, а затем атакующий собирает фрагменты и по ним восстанавливает чувствительные данные.

В Rapid7 уточняют, что уязвимость опасна тем, что при определённых условиях даёт путь к доступу, который обходил механизмы аутентификации. Это особенно критично для инсталляций, которые по ошибке или из-за слабых настроек выставлены в интернет. В Wiz подсчитали, что в 42% облачных сред есть хотя бы один экземпляр MongoDB у уязвимой версии, и специалисты компании подтвердили, что многие такие системы, доступные из интернета, действительно поддаются атаке. Censys сообщила, что наблюдает около 87 тысяч потенциально уязвимых инстансов по всему миру, а Shadowserver Foundation приводит оценку 74 854.

В Rapid7 отмечают, что сочетание массовой доступности и простоты эксплуатации исторически почти всегда приводит к быстрой волне злоупотреблений. По их оценке, наиболее вероятный сценарий сейчас — это не точечные атаки «под конкретную цель», а широкий автоматический поиск уязвимых серверов в сети и попытки извлечь максимум данных где получится. При этом MongoDB используется буквально везде: от стартапов и SaaS-сервисов до крупных компаний и государственных структур, так что последствия зависят в первую очередь от того, насколько аккуратно конкретная организация обновляет и настраивает свои базы.

Дополнительную тревогу усилило то, что эксплуатацию подтвердили независимые специалисты. Кевин Бомонт проверил опубликованный код и заявил, что с его помощью можно извлекать, например, пароли от баз данных, секретные ключи AWS и другие данные, которые часто оказываются в памяти или в окружении приложений.