MongoDB Sunucusundaki kritik bir güvenlik açığı dünya çapında on binlerce veritabanını riske atıyor.
MongoBleed olarak adlandırılan ve CVE-2025-14847 olarak izlenen bu yüksek önem dereceli kusur, kimliği doğrulanmamış saldırganların kimlik bilgileri olmadan sunucu belleğinden hassas verileri uzaktan çıkarmasına olanak tanıyor.
Shadow Server Foundation, bugün tespit edilen 78.725 açığa çıkan örnek arasında 74.854 potansiyel olarak yama yapılmamış MongoDB sürümünü gösteren güncellenmiş bulguları açıkladı.
Bu hafta yayınlanan kamuya açık yararlanma kodu, tehdit zaman çizelgesini hızlandırdı ve çok sayıda güvenlik firması vahşi ortamda aktif istismarı doğruladı.
MongoBleed nedir?
MongoBleed, MongoDB’nin zlib ağ sıkıştırma mantığındaki bir kusurdan kaynaklanmaktadır.
Saldırganlar, sunucunun gizli kalması gereken başlatılmamış yığın belleği döndürmesine neden olan özel hazırlanmış sıkıştırılmış paketler gönderir.
Güvenlik açığı, kimlik doğrulama kontrollerinden önce mevcut olduğundan, saldırganların bu güvenlik açığından yararlanmak için yalnızca MongoDB bağlantı noktasına (varsayılan 27017) ağ erişimine ihtiyacı vardır.
Hata, MongoDB’nin sıkıştırılmamış gerçek veri uzunluğu yerine tahsis edilen arabellek boyutunu döndürdüğü message_compressor_zlib.cpp dosyasında bulunuyor.
Bu, sunucunun hassas bilgiler içeren bitişik yığın belleğini açığa çıkarmasına neden olur.
Sızan bellek parçaları; veritabanı kimlik bilgilerini, API anahtarlarını, bulut sırlarını (AWS, Azure, GCP), oturum belirteçlerini, kimlik doğrulama belirteçlerini, dahili günlükleri ve sunucu yapılandırmalarını ve diğer veritabanı bağlantılarından gelen verileri içerebilir.
Bu, MongoBleed’i özellikle tehlikeli hale getiriyor çünkü saldırganlar, geleneksel izinsiz giriş tespitini tetiklemeden sırlara doğrudan erişim sağlayabiliyor.
Aktif İstismar Onaylandı
Güvenlik açığı 19 Aralık’ta açıklandı. ve genel kavram kanıtlama kodu 26 Aralık’tan beri mevcut. Wiz, Bitsight ve diğerlerindeki güvenlik araştırmacıları istismar girişimlerini belgeledi.
The Shadowserver Foundation, X hakkındaki bir gönderide, kamuya açık istismarların, 70.000’den fazla açığa çıkan örneğin ve onaylanmış aktif istismarın kombinasyonunun acil eylemi gerekli kıldığı konusunda uyardı.
Ubisoft’un Rainbow Six Siege sunucuları çevrimdışına çıktığında tehdit önemli ölçüde arttı birden fazla tehdit aktörünün iddiada bulunmasının ardından dahili Git depolarını hedef alan bir MongoBleed saldırısı.
MongoDB desteklenen tüm sürümler için yamalar yayınladı: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ve 4.4.30. Atlas müşterilerine herhangi bir işlem gerektirmeden otomatik yamalar verildi.
Şirket içinde barındırılan MongoDB bulut sunucularını çalıştıran kuruluşlar yamayı hemen uygulamalı veya yama uygulama sırasında zlib sıkıştırmasını geçici olarak devre dışı bırakmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
