75.000 mogelijk kwetsbare MongoDB-servers toegankelijk vanaf internet

[Captain Kirk]

Zo'n 75.000 mogelijk kwetsbare MongoDB-servers, waarvan 1600 in Nederland, zijn toegankelijk vanaf het internet. Daarvoor waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Na de Australische overheid laat ook de Amerikaanse overheid weten dat aanvallers actief misbruik van een kwetsbaarheid in MongoDB maken, ook bekend als MongoBleed en CVE-2025-14847. Het probleem is al 8 jaar in de code van MongoDB aanwezig.

MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt voor de opslag van data. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand ongeïnitialiseerd heapgeheugen van de server uitlezen en zo gevoelige informatie als inloggegevens, session tokens en persoonlijke informatie stelen.

The Shadowserver Foundation deed onderzoek en detecteerde bijna 79.000 MongoDB-servers die vanaf internet toegankelijk zijn. Van vierduizend servers kon worden vastgesteld dat die de beveiligingsupdate voor CVE-2025-14847 hebben geïnstalleerd. Vanwege de mogelijkheid om patches te backporten, waarbij het versienummer ongewijzigd blijft, valt echter niet met zekerheid te zeggen dat de overige 75.000 kwetsbaar zijn.

Van de mogelijk kwetsbare MongoDB-servers bevinden zich er zestienhonderd in Nederland. Het beveiligingslek werd in mei 2017 in MongoDB geïntroduceerd. Volgens software engineer Stanislav Kozlovski is het onbekend of de kwetsbaarheid misbruikt is voordat die bekend werd gemaakt. "Maar gegeven de eenvoud ervan denk ik van wel."

 

bron: https://www.security.nl