Falha crítica no MongoDB, MongoBleed, foi usada em hacking à Ubisoft
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores das empresas OX Security e Wiz.io descreveram uma vulnerabilidade crítica no MongoDB chamada MongoBleed (CVE-2025-14847), que já foi explorada em invasões a sites e serviços. A brecha permite que hackers vazem memória sensível de servidores e permitiu a invasão ao jogo Rainbow Six Siege e seu marketplace, o que levou a Ubisoft a fechar o serviço por alguns dias.
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
- Chuva de skins e dinheiro infinito faz Ubisoft desligar servidores de R6 Siege
A MongoDB é uma das bases de dados NoSQL mais usadas no mundo, de startups e companhias a plataformas em nuvem, das áreas financeira e IoT a serviços de análise e jogos. A falha MongoBleed foi revelada ao público na última véspera de natal, 24 de dezembro, e deriva do gerenciamento incorreto do arquivo message_compressor_zlib.cpp, parte da camada de descompressão da rede do servidor através da biblioteca zlib.
Como funciona o MongoBleed
Quando um hacker envia uma mensagem comprimida maliciosa a um servidor MongoDB vulnerável, o servidor aloca o buffer baseado num tamanho descomprimido falso e, erroneamente, retorna memória heap não inicializada.
Como isso ocorre sem autenticação, não são necessárias credenciais para explorar a falha. Assim, dados sensíveis na memória, como senhas, chaves de API e logs internos podem ser roubados silenciosamente e em grande escala.
O problema afeta todas as versões suportadas e legado do servidor MongoDB, da 3.6 à 8.2.2. Estão inclusas:
- MongoDB 8.2.0 – 8.2.2;
- MongoDB 8.0.0 – 8.0.16;
- MongoDB 7.0.0 – 7.0.27;
- MongoDB 6.0.0 – 6.0.26;
- MongoDB 5.0.0 – 5.0.31;
- MongoDB 4.4.0 – 4.4.29;
- Todas as versões MongoDB 4.2, 4.0 e 3.6.
As versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30 receberam patches de correção. A primeira exploração pública foi publicada em 25 de dezembro pelo pesquisador de segurança Joe Desimone, que mostrou o vazamento de memória de qualquer instância MongoDB precisando somente do endereço IP. A Ubisoft, que usa MongoDB para parte dos serviços backend, também foi explorada.
É recomendado a organizações que usem a ferramenta que atualizem imediatamente, mas, caso isso não seja possível, a compressão zlib deve ser desativada, fazendo com que as opções –networkMessageCompressors ou net.compression.compressors omitam o zlib.
Alternativas incluem compressões snappy e zstd ou simplesmente desativar a compressão. É possível, ainda, usar um detector open source da falha MongoBleed publicado pelo pesquisador de segurança Florian Roth.
Confira ainda no Canaltech:
- Hacker ameaça vazar 40 milhões de dados da editora da Vogue e Wired
- Ferramenta falsa de ativação do Windows infecta PCs com script malicioso
- Ícones de apps famosos viram armadilha em nova onda de malware no Firefox
VÍDEO | Como funciona o blockchain em servidores tradicionais