MongoBleed Detector工具发布,用于检测MongoDB漏洞(CVE-2025-14847)
一款开源检测工具已发布,旨在帮助组织识别潜在的MongoBleed(CVE-2025-14847)漏洞利用。该漏洞是影响MongoDB数据库的一个关键内存泄露漏洞。
该漏洞允许攻击者无需身份验证,直接从服务器内存中提取敏感信息,包括凭证、会话令牌和个人身份信息。
该漏洞存在于MongoDB的zlib解压缩机制中,影响版本范围从4.4到8.2.2。
检测工具工作原理
MongoBleed Detector是一款离线命令行工具,它通过分析MongoDB JSON日志来识别漏洞利用尝试。它无需网络连接或额外的代理即可运行,适合用于取证分析和事件响应场景。
其检测机制关联了三种MongoDB日志事件类型:连接接受(22943)、客户端元数据(51800)和连接关闭(22944)。合法的MongoDB驱动程序总是在连接后立即发送元数据。相比之下,MongoBleed漏洞利用程序会连接、提取内存,并在不发送任何元数据的情况下断开连接。
该工具能够识别可疑模式,其特征包括来自单个IP地址的高连接量、缺少客户端元数据以及每分钟超过10万次连接的短时突发行为。
| 特性 | 概要 |
|---|---|
| 日志分析 | 支持压缩日志;兼容IPv4和IPv6 |
| 风险等级 | 四种严重性评级:高、中、低、信息 |
| 检测控制 | 可配置的检测阈值 |
| 取证模式 | 分析来自多个主机的证据 |
| 远程扫描 | 基于SSH的Python包装器,用于扫描多个MongoDB实例 |
该检测器支持压缩日志处理,可处理IPv4和IPv6地址,并提供跨越四个严重性等级的风险分类:高、中、低和信息。它提供可配置的检测阈值,并包含一个取证文件夹模式,用于分析从多个主机收集的证据。
该工具还包含一个用于通过SSH远程执行的Python包装器,使安全团队能够同时扫描多个MongoDB实例。
| MongoDB主要版本 | 受影响版本 | 建议修复版本 |
|---|---|---|
| 4.4 | 4.4.0 – 4.4.29 | 4.4.30 或更高 |
| 5.0 | 5.0.0 – 5.0.31 | 5.0.32 或更高 |
| 6.0 | 6.0.0 – 6.0.26 | 6.0.27 或更高 |
| 7.0 | 7.0.0 – 7.0.27 | 7.0.28 或更高 |
| 8.0 | 8.0.0 – 8.0.16 | 8.0.17 或更高 |
| 8.2 | 8.2.0 – 8.2.2 | 8.2.3 或更高 |
根据GitHub上发布的安全公告,运行有漏洞MongoDB版本的组织应立即应用可用补丁,并使用此检测器来调查潜在的入侵情况。