MongoBleed bedreigt databases, maar detectietool is beschikbaar (update)

maandag, 29 december 2026 (12:09) - Techzine

In dit artikel:

Een nieuwe open-source tool moet helpen bij het opsporen van misbruik van MongoBleed (CVE-2025-14847), een kritieke kwetsbaarheid in het zlib-decompressiemechanisme van MongoDB die wereldwijd actief wordt uitgebuit. Onderzoekers en instanties — waaronder securitybedrijf Wiz en het Nederlandse NCSC — waarschuwen dat aanvallers zonder authenticatie gevoelige data uit het servergeheugen kunnen lezen, zoals credentials, sessietokens en persoonsgegevens. Censys noemt circa 87.000 potentieel kwetsbare instanties en Wiz meldt dat 42% van cloudomgevingen minstens één kwetsbare MongoDB-instance heeft.

De MongoBleed Detector is een offline commandline-tool die JSON-logs van MongoDB analyseert; er is geen netwerktoegang of agent nodig, wat hem geschikt maakt voor forensisch onderzoek en incident response. De detectie werkt door drie logevents te correleren (22943, 51800, 22944): normale drivers sturen meteen client-metadata na het verbinden, terwijl de exploit verbinding maakt, geheugen extraheert en verbreekt zonder metadata te zenden. De detector signaleert verdachte patronen zoals hoge verbindingsvolumes vanaf één IP, het ontbreken van client-metadata en korte bursts die 100.000 verbindingen per minuut overschrijden. De tool ondersteunt gecomprimeerde logs, IPv4/IPv6, biedt vier risiconiveaus (HIGH, MEDIUM, LOW, INFO) en heeft een Python-wrapper voor remote scans via SSH en een forensische folder-modus.

Getroffen MongoDB-versies lopen van 4.4.x tot en met 8.2.2 (en alle varianten van 4.2, 4.0 en 3.6). MongoDB heeft patches uitgebracht (o.a. 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30) en Atlas-instanties zijn automatisch geüpgraded. Omdat een werkende exploit sinds 26 december 2025 publiek is, wordt snelle patching aanbevolen; wie niet meteen kan patchen kan zlib-compressie uitschakelen (networkMessageCompressors / net.compression.compressors) of overstappen naar snappy/zstd of compressie uitzetten. Gebruik van de detector wordt aangeraden om mogelijke misbruikgevallen te onderzoeken.