Казахстанские сервера MongoDB под угрозой утечки данных

Национальная служба реагирования на компьютерные инциденты KZ-CERT в ходе анализа данных поисковой системы Shodan выявила 206 серверов MongoDB, которые подвержены критической уязвимости MongoBleed.

Угроза с идентификатором CVE-2025-14847 представляет серьезный риск, поскольку MongoDB Server является одной из наиболее распространенных систем управления базами данных и широко используется в государственных, корпоративных и коммерческих информационных системах. Этот сервер отвечает за хранение, обработку и управление данными приложений, а также обеспечивает доступ к ним через сетевые соединения, что делает его критически важным элементом цифровой инфраструктуры.

Выявленная уязвимость связана с некорректной обработкой полей длины в заголовках сетевых сообщений, сжатых с использованием алгоритма Zlib. Проблема возникает на этапе обработки сетевых запросов до прохождения аутентификации, что позволяет злоумышленнику воздействовать на сервер удаленно, без наличия учетной записи или каких-либо привилегий.

При эксплуатации уязвимости злоумышленник может отправлять специально сформированные сетевые пакеты на публично доступный порт MongoDB (по умолчанию 27017). В результате сервер возвращает не только корректные данные, но и фрагменты неинициализированной оперативной памяти. В таких фрагментах могут содержаться конфиденциальные сведения, включая учетные данные, ключи API, токены сессий и иные чувствительные данные, ранее обрабатывавшиеся сервером.

Опасность уязвимости заключается в том, что ее эксплуатация не требует активного вмешательства в систему или изменения конфигурации сервера. Повторяя запросы, злоумышленник способен постепенно извлекать чувствительную информацию из памяти процесса MongoDB и использовать полученные данные для дальнейшей компрометации информационных систем, доступа к внутренним сервисам или распространения атаки.

Дополнительную угрозу представляет тот факт, что уязвимость включена CISA в каталог известных эксплуатируемых уязвимостей (KEV), что указывает на ее использование в реальных условиях. По информации исследователей, уязвимость MongoBleed могла применяться при ряде инцидентов, включая возможный компрометирующий доступ к инфраструктуре компании Ubisoft и связанным с ней сервисам, однако данная информация не имеет официального подтверждения со стороны правообладателя.

В ходе анализа также были определены характерные признаки возможной эксплуатации уязвимости. К ним относятся входящие подключения к MongoDB без прохождения аутентификации, большое количество коротких сетевых сессий, аномальная активность сжатого трафика, а также нестабильное поведение сервиса, выражающееся в резких всплесках нагрузки и ошибках обработки сетевых сообщений.

В целях минимизации рисков и предотвращения возможных инцидентов информационной безопасности рекомендуется:

— обновить MongoDB Server до версий, в которых уязвимость устранена;
— отключить использование сжатия Zlib, запустив MongoDB с параметрами mongod --networkMessageCompressors snappy, zstd;
— ограничить сетевой доступ к MongoDB с использованием межсетевых экранов и сетевых списков контроля доступа (ACL);
— провести анализ журналов MongoDB на наличие аномальных или подозрительных запросов;
— выполнить проверку инфраструктуры по указанным индикаторам компрометации (IoC);
— использовать системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
— в случае выявления признаков эксплуатации — незамедлительно сменить пароли пользователей MongoDB, а также используемые ключи API и учетные данные приложений.

Национальной службой реагирования на компьютерные инциденты KZ-CERT проведены работы по уведомлению владельцев и операторов связей затронутых IP-адресов.

Напомним — 20 ноября 2026 г. в Алматы пройдет конференция PROFIT Security Day, посвященная информационной безопасности для бизнеса.