Beobachtungen
Sicherheitsforscher und spezialisierte Cloud-Sicherheitsunternehmen warnen vor einer kritischen Schwachstelle in der Datenbanksoftware MongoDB, die unter der Kennung CVE-2025-14847 geführt wird. Aktuelle Netzwerkanalysen, unter anderem durch den Dienstleister Censys, identifizieren Deutschland als einen der Schwerpunkte für potenziell verwundbare Systeme weltweit; mit knapp 8.000 offen aus dem Internet erreichbaren Instanzen liegt die Bundesrepublik in der Statistik der betroffenen Server direkt hinter den USA und China. Telemetriedaten des Sicherheitsanbieters Wiz deuten darauf hin, dass ein signifikanter Anteil der sichtbaren Systeme veraltete oder ungepatchte Versionen betreibt. Die Schwachstelle wird von Experten als hochkritisch eingestuft, da sie den unautorisierten Zugriff auf sensible Speicherinhalte ermöglicht.
Methoden
Die als "MongoBleed“ bezeichnete Schwachstelle basiert auf einer fehlerhaften Implementierung der zlib-Bibliothek zur Datenkomprimierung innerhalb des MongoDB-Servers. Technischen Analysen von Ox Security zufolge tritt der Fehler auf, wenn der Server speziell manipulierte Netzwerkpakete verarbeitet. Dabei allokiert das System Speicher basierend auf manipulierten Größenangaben im Paketheader, gibt jedoch statt der dekomprimierten Daten Inhalte aus dem angrenzenden Arbeitsspeicher zurück. Da dieser Prozess der Dekomprimierung noch vor der eigentlichen Authentifizierungsphase stattfindet, ist für einen Angriff kein valider Benutzerzugang erforderlich. Ein Angreifer kann durch das Senden malformierter Anfragen sensible Datenfragmente exfiltrieren. Zu den potenziell abfließenden Informationen zählen Klartext-Passwörter, API-Schlüssel sowie Session-Tokens. Da der Angriff vor der Authentifizierung erfolgt, hinterlässt er in Standard-Konfigurationen oft nur subtile Spuren in den Protokolldateien, was die Detektion erschwert.
Attribution
Ein funktionsfähiger Proof-of-Concept (PoC) zur Ausnutzung der Lücke wurde durch Sicherheitsforscher von Elastic Security veröffentlicht, was die Eintrittshürde für Angreifer erheblich senkt. Es liegen bestätigte Berichte über aktive Ausnutzungsversuche „in the wild“ vor. Die Angriffe erfolgen automatisiert und breit gestreut, wobei derzeit keine spezifische Tätergruppierung (APT) als alleiniger Urheber identifiziert wurde. Vielmehr ist davon auszugehen, dass sowohl opportunistische Akteure als auch Ransomware-Gruppierungen die Lücke nutzen, um Zugang zu Unternehmensnetzwerken zu erlangen oder Datenbankinhalte zu kompromittieren. Erste Analysen von Sicherheitsforschern deuten darauf hin, dass Angreifer die öffentlich verfügbaren Skripte bereits modifizieren, um Erkennungsmuster zu umgehen.
Empfehlungen
Betreibern von MongoDB-Instanzen wird dringend geraten, unverzüglich die vom Hersteller bereitgestellten Sicherheitsupdates einzuspielen. Dies betrifft eine breite Palette von Versionen, von älteren 3.6-Releases bis hin zu aktuellen 8.x-Versionen. Sollte ein zeitnahes Update nicht möglich sein, muss als temporäre Mitigation die zlib-Komprimierung in der Serverkonfiguration deaktiviert werden. Zur Detektion bereits erfolgter Kompromittierungsversuche sollten Administratoren ihre Log-Dateien gezielt analysieren. Ein starkes Indiz für einen Angriff ist laut Sicherheitsforschern eine hohe Anzahl an Verbindungsaufbauen von einer einzelnen Quell-IP, denen keine entsprechenden Metadaten-Events folgen („zero metadata events“).
Da die Lücke das Auslesen von Credentials ermöglicht, müssen bei Verdachtsmomenten oder ungepatchter Exposition präventiv alle auf dem Server verarbeiteten Zugangsdaten und API-Schlüssel rotiert werden. Zudem ist die Netzwerkkonfiguration dahingehend zu prüfen, dass Datenbanken nicht direkt aus dem öffentlichen Internet erreichbar sind.