Contexte et source: Publication technique type README (dépôt GitHub du projet “MongoBleed Detector”) présentant un outil de détection local pour la vulnérabilité MongoBleed (CVE-2025-14847).

L’outil « MongoBleed Detector » cible CVE-2025-14847, une vulnérabilité de divulgation de mémoire dans la décompression zlib de MongoDB, permettant l’exfiltration de données sensibles (identifiants, tokens, PII) sans authentification. Il analyse les logs JSON de MongoDB de façon offline/agentless et cherche un motif d’attaque caractéristique: volumes de connexions très élevés depuis une même IP, absence totale de métadonnées client, et rafales très courtes (jusqu’à 100 000+ connexions/min dans le comportement documenté).

Fonctionnement et détection: le script corrèle trois événements de logs MongoDB: 22943 (Connection Accepted), 51800 (Client Metadata), 22944 (Connection Closed). Insight clé: les clients légitimes envoient toujours des métadonnées immédiatement après la connexion; l’exploit se connecte, lit la mémoire, se déconnecte, sans jamais envoyer de métadonnées. Le moteur calcule des métriques (compte de connexions, taux de métadonnées, burst/minute) et classe le risque en HIGH/MEDIUM/LOW/INFO selon des seuils configurables.

Caractéristiques principales: traitement streaming de gros fichiers, support des logs compressés (.gz), IPv4/IPv6, options de forensic multi-hôtes (dossier d’évidence) et un wrapper Python/SSH pour exécuter le scan à distance et agréger des résultats. Sorties avec codes de retour (0: pas de findings, 1: findings, 2: erreur) et un tableau récapitulatif par IP (et hostname en mode multi-hôte). Un test suite génère des logs synthétiques (exploitation HIGH, patterns MEDIUM/LOW/INFO, IPv6, lignes malformées, compressé) pour valider la détection.

Limitations et recommandations intégrées: nécessite des logs JSON (MongoDB 4.4+), dépend de la rétention des logs, peut être évadé si l’attaquant envoie de fausses métadonnées (au prix de la vitesse). Le dépôt inclut des actions post-détection: préserver les preuves, rotation des identifiants, revue des données potentiellement exposées, recherche de mouvement latéral, patch immédiat, et reporting interne.

Versions affectées et correctifs: vulnérable sur MongoDB 8.2.0–8.2.2 (fix 8.2.3), 8.0.0–8.0.16 (fix 8.0.17), 7.0.0–7.0.27 (fix 7.0.28), 6.0.0–6.0.26 (fix 6.0.27), 5.0.0–5.0.31 (fix 5.0.32); les branches 4.4.0–4.4.29 (fix 4.4.30). Les séries 4.2.x, 4.0.x, 3.6.x sont listées comme « No fix ». Références citées: recherche de Eric Capuano (signature comportementale), contributions de Kevin Beaumont, Joe Desimone (POC), et Ox Security.

IOCs et TTPs:

  • TTPs: connexions massives depuis une même IP; absence d’événement Client Metadata (51800) après 22943; rafales élevées (ex. ≥400/min pour HIGH); cycle connect → extraire mémoire → disconnect; corrélation des events 22943/51800/22944.
  • Exemples fournis dans l’article (démonstration/tests): IP source 137.137.137.137 avec 8 172 connexions, 0% de métadonnées, ~490/min (signature d’exploitation dans l’exemple).

Type d’article: présentation d’un nouvel outil de détection et documentation technique visant à faciliter la chasse et l’investigation de l’exploitation de CVE-2025-14847.

🔗 Source originale : https://github.com/Neo23x0/mongobleed-detector