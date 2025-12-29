Secondo diversi ricercatori di sicurezza, la vulnerabilità di MongoDB denominata MongoBleed è presente in oltre 80.000 server accessibili online. Sono disponibili sia la descrizione tecnica che un exploit pubblico, quindi i cybercriminali possono effettuare attacchi e rubare dati sensibili, come sarebbe avvenuto durante l’intrusione ai sistemi interni di Ubisoft.

Estrazione di segreti dalla memoria

La vulnerabilità CVE-2025-14847 (MongoBleed), presente nelle versioni di MongoDB precedenti a 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30, consente di leggere il contenuto delle memoria senza autenticazione. L’exploit è pubblico, quindi è necessario installare le patch nel minor tempo possibile. Per le istanze self-hosting sono state rilasciate il 19 dicembre, mentre quelle gestite tramite MongoDB Atlas sono state già aggiornate.

In dettaglio, la vulnerabilità è dovuta all’errata elaborazione dei pacchetti di rete da parte della libreria zlib . Invece della lunghezza dei dati decompressi, una funzione restituisce la dimensione della memoria allocata. Un cybercriminale potrebbe inviare un pacchetto che dichiara una dimensione maggiore una volta decompresso, inducendo il server ad allocare un buffer di memoria più grande.

In questo modo è possibile estrarre dalla memoria numerose informazioni sensibili, tra cui password, API key, dati degli utenti, token di sessione e log interni. Dato che la decompressione dei messaggi avviene prima della fase di autenticazione, i cybercriminali non devono accedere al server con credenziali valide. È sufficiente conoscere l’indirizzo IP delle istanze MongoDB e usare un tool che effettua la scansione della memoria.

In base alla piattaforma Censys, i server vulnerabili sono oltre 87.000. La maggioranza di essi si trova negli Stati Uniti, in Cina e in Germania. Secondo Wiz, almeno il 42% degli ambienti cloud ha un’istanza MongoDB vulnerabile. Come detto, la vulnerabilità è stata probabilmente sfruttata per accedere ai server di Ubisoft (non c’è una conferma ufficiale). Un ricercatore di sicurezza ha creato un tool che rileva eventuali intrusioni.