Архив метки: MongoBleed

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Добавить комментарий

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей. Сразу поясню: у меня никаких претензий к идее EPSS нет. Предсказание скорого появления эксплоитов для уязвимостей! Для всех CVEшек! Бесплатно! Это же просто сказка! Ну, если бы это нормально работало. 😏

И ладно бы, эта штука просто колебалась вслед за новостным потоком: пошли новости о появлении эксплоитов или атак - взлетаем от 0 до 100%. Это, конечно, было бы никакое не предсказание, а просто очередная штука для отслеживания хайповости уязвимостей, тыщи их. Но ведь EPSS даже с этим не справляется! Для MongoBleed с публичным эксплоитом и признаками эксплуатации в атаках EPSS был околонулевой. 🤦‍♂️ И это обычное дело. Как посчитали в CyberOK, при слепом использовании фильтра EPSS>10% вы пропустите половину уязвимостей из CISA KEV. 🤷‍♂️

Я правда жду, когда EPSS-предсказания станут адекватнее, но пока от релиза к релизу ничего не меняется. 😟

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.

Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847)

Добавить комментарий

Information Disclosure - MongoDB MongoBleed (CVE-2025-14847)

Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).

⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.

🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.

🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.