MongoBleed: Kritische Lücke bedroht tausende Datenbanken weltweit
Eine kritische Sicherheitslücke in der Datenbank MongoDB bedroht weltweit Zehntausende Server. Der Fehler, bekannt als MongoBleed, erlaubt Angreifern das Auslesen sensibler Daten aus dem Arbeitsspeicher ohne Authentifizierung. Ein Patch steht jetzt bereit.
Betroffen sind diverse Versionen der weitverbreiteten Datenbanksoftware, die als Herzstück vieler moderner Webanwendungen im sogenannten MEAN- oder MERN-Stack fungiert. Das Problem liegt spezifisch in der Implementierung der Zlib-Dekomprimierung. Da für den Angriff keinerlei Zugangsdaten erforderlich sind, stufen Experten das Risiko als extrem hoch ein.
Das technische Problem entsteht durch einen Logikfehler bei der Verarbeitung komprimierter Datenpakete, der Erinnerungen an die berüchtigte "Heartbleed"-Lücke in OpenSSL wachruft. Sendet ein Angreifer ein manipuliertes Paket, das eine größere Datenmenge vorgibt, als tatsächlich enthalten ist, gibt der Server Teile des uninitialisierten Heap-Speichers zurück.
In diesem dynamischen Speicherbereich können sich Rückstände vorangegangener Operationen befinden, darunter Passwörter im Klartext, Sitzungstokens, API-Schlüssel oder personenbezogene Daten anderer Nutzer. Das macht die Lücke besonders gefährlich für produktive Umgebungen, in denen sensible Informationen verarbeitet werden und Performance-Optimierungen durch Kompression aktiviert sind.
Experten beobachten bereits erste Versuche der Ausnutzung. Interessant ist hierbei der Kontext der Entdeckung: Unbestätigten Berichten zufolge könnte die Schwachstelle mit einem kürzlichen Vorfall bei Ubisofts Taktik-Shooter Rainbow Six Siege in Verbindung stehen. Cheat-Entwickler sollen eine ähnliche Technik genutzt haben, um Spieldaten auszulesen, was Sicherheitsforscher erst auf die Spur des zugrundeliegenden Datenbankfehlers brachte.
Laut aktuellen Analysen sind weltweit über 87.000 Instanzen über das öffentliche Internet erreichbar und potenziell angreifbar. Deutschland liegt dabei mit knapp 8000 Servern auf dem dritten Platz hinter den USA und China. Die Cloud-Sicherheitsplattform Wiz stellte fest, dass bei 42 Prozent der von ihnen überwachten Systeme verwundbare Versionen im Einsatz sind.
Das Ausmaß ist deshalb so groß, weil MongoDB in der Standardkonfiguration oft ohne strikte Firewall-Regeln eingesetzt wird und Administratoren die Zlib-Komprimierung gerne nutzen, um den Netzwerkverkehr zwischen Anwendung und Datenbank zu minimieren.
Nutzer des Managed-Service MongoDB Atlas müssen nicht aktiv werden, da der Anbieter die Updates dort bereits automatisch eingespielt hat. Das ist der Vorteil voll verwalteter Cloud-Lösungen, bei denen die Verantwortung für das Patch-Management beim Provider liegt.
Falls ein sofortiges Update der selbst gehosteten Server aus betrieblichen Gründen nicht möglich ist, besteht eine temporäre Abhilfe darin, die Zlib-Komprimierung in den Konfigurationseinstellungen zu deaktivieren. Das kann zwar zu einem erhöhten Datenaufkommen im Netzwerk führen, schließt aber den Angriffsvektor effektiv. Alternativ können Administratoren auf sicherere Kompressionsmethoden wie Zstandard oder Snappy ausweichen, die von dem Fehler nicht betroffen sind und oft sogar eine bessere Performance bieten.
Habt ihr eure Instanzen schon geprüft oder setzt ihr auf die genannten Übergangslösungen? Schreibt uns eure Erfahrungen und Meinungen dazu gerne in die Kommentare. Wir sind gespannt auf euer Feedback!
Siehe auch:
Kritische Lücke in MongoDB
Eine schwerwiegende Sicherheitslücke in der populären NoSQL-Datenbank MongoDB, die in Sicherheitskreisen bereits als "MongoBleed" bezeichnet wird, gefährdet derzeit Tausende von Datenbankinstanzen weltweit. Unter der Kennung CVE-2025-14847 ermöglicht der Fehler unauthentifizierten Angreifern, sensible Daten direkt aus dem Arbeitsspeicher der Server auszulesen.Betroffen sind diverse Versionen der weitverbreiteten Datenbanksoftware, die als Herzstück vieler moderner Webanwendungen im sogenannten MEAN- oder MERN-Stack fungiert. Das Problem liegt spezifisch in der Implementierung der Zlib-Dekomprimierung. Da für den Angriff keinerlei Zugangsdaten erforderlich sind, stufen Experten das Risiko als extrem hoch ein.
Das technische Problem entsteht durch einen Logikfehler bei der Verarbeitung komprimierter Datenpakete, der Erinnerungen an die berüchtigte "Heartbleed"-Lücke in OpenSSL wachruft. Sendet ein Angreifer ein manipuliertes Paket, das eine größere Datenmenge vorgibt, als tatsächlich enthalten ist, gibt der Server Teile des uninitialisierten Heap-Speichers zurück.
In diesem dynamischen Speicherbereich können sich Rückstände vorangegangener Operationen befinden, darunter Passwörter im Klartext, Sitzungstokens, API-Schlüssel oder personenbezogene Daten anderer Nutzer. Das macht die Lücke besonders gefährlich für produktive Umgebungen, in denen sensible Informationen verarbeitet werden und Performance-Optimierungen durch Kompression aktiviert sind.
Exploit-Code und Hintergründe
Die Situation verschärft sich dadurch, dass Angriffscode mittlerweile frei zugänglich ist. Wie BleepingComputer berichtet, ist bereits ein Proof-of-Concept (PoC) durch den Sicherheitsforscher Joe Desimone veröffentlicht worden. Das senkt die Hürde für potenzielle Angreifer drastisch, da nun lediglich die IP-Adresse eines verwundbaren Servers benötigt wird, um Daten abzugreifen.Experten beobachten bereits erste Versuche der Ausnutzung. Interessant ist hierbei der Kontext der Entdeckung: Unbestätigten Berichten zufolge könnte die Schwachstelle mit einem kürzlichen Vorfall bei Ubisofts Taktik-Shooter Rainbow Six Siege in Verbindung stehen. Cheat-Entwickler sollen eine ähnliche Technik genutzt haben, um Spieldaten auszulesen, was Sicherheitsforscher erst auf die Spur des zugrundeliegenden Datenbankfehlers brachte.
Laut aktuellen Analysen sind weltweit über 87.000 Instanzen über das öffentliche Internet erreichbar und potenziell angreifbar. Deutschland liegt dabei mit knapp 8000 Servern auf dem dritten Platz hinter den USA und China. Die Cloud-Sicherheitsplattform Wiz stellte fest, dass bei 42 Prozent der von ihnen überwachten Systeme verwundbare Versionen im Einsatz sind.
Das Ausmaß ist deshalb so groß, weil MongoDB in der Standardkonfiguration oft ohne strikte Firewall-Regeln eingesetzt wird und Administratoren die Zlib-Komprimierung gerne nutzen, um den Netzwerkverkehr zwischen Anwendung und Datenbank zu minimieren.
Updates und Gegenmaßnahmen
MongoDB hat auf die Bedrohung reagiert und Patches für die betroffenen Versionen bereitgestellt. Administratoren sollten ihre Systeme umgehend auf die folgenden oder neuere Versionen aktualisieren:- MongoDB 8.2.3, 8.0.17
- MongoDB 7.0.28, 6.0.27
- MongoDB 5.0.32, 4.4.30
Nutzer des Managed-Service MongoDB Atlas müssen nicht aktiv werden, da der Anbieter die Updates dort bereits automatisch eingespielt hat. Das ist der Vorteil voll verwalteter Cloud-Lösungen, bei denen die Verantwortung für das Patch-Management beim Provider liegt.
Falls ein sofortiges Update der selbst gehosteten Server aus betrieblichen Gründen nicht möglich ist, besteht eine temporäre Abhilfe darin, die Zlib-Komprimierung in den Konfigurationseinstellungen zu deaktivieren. Das kann zwar zu einem erhöhten Datenaufkommen im Netzwerk führen, schließt aber den Angriffsvektor effektiv. Alternativ können Administratoren auf sicherere Kompressionsmethoden wie Zstandard oder Snappy ausweichen, die von dem Fehler nicht betroffen sind und oft sogar eine bessere Performance bieten.
Habt ihr eure Instanzen schon geprüft oder setzt ihr auf die genannten Übergangslösungen? Schreibt uns eure Erfahrungen und Meinungen dazu gerne in die Kommentare. Wir sind gespannt auf euer Feedback!
Zusammenfassung
- MongoBleed-Lücke in MongoDB ermöglicht Auslesen von Arbeitsspeicher
- CVE-2025-14847 betrifft Zehntausende Server weltweit ohne Anmeldung
- Fehler in Zlib-Dekomprimierung können sensible Daten wie Passwörter preisgeben
- Proof of Concept bereits veröffentlicht, über 87000 Instanzen gefährdet
- Deutschland auf Platz drei der betroffenen Länder mit knapp 8000 Servern
- MongoDB stellt Patches für betroffene Versionen 8.x, 7.x, 6.x, 5.x und 4.x bereit
- Übergangslösung: Zlib-Komprimierung deaktivieren oder auf Zstandard umsteigen
Siehe auch:
- 39C3: Massive Schwachstellen erlauben Betrug beim Deutschlandticket
- Warnung: Das sind die gefährlichsten Software-Schwachstellen 2025
- Schwachstelle in WinRAR wird von mehreren Gruppen aktiv ausgenutzt
- Kriminelle nutzen frisch gestopfte 7-Zip-Schwachstelle für Angriffe
- Genaueste Untersuchung: Schwachstelle im Erdmagnetfeld wächst
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon