Tool helpt via MongoBleed gecompromitteerde systemen op te sporen
Een nieuwe tool helpt systemen die zijn gecompromitteerd via het MongoBleed-beveiligingslek in MongoDB (CVE-2025-18847) te detecteren. De too heet MongoBleed Detector en analyseert MongoDB JSON-logs op aanwijzingen die duiden op een aanval.
MongoBleed is een ernstige beveiligingskwetsbaarheid in MongoDB. Het lek maakt het mogelijk voor aanvallers zonder authenticatie om gevoelige gegevens uit het werkgeheugen van kwetsbare systemen te onttrekken. De kwetsbaarheid treft meerdere versies van MongoDB Server, waaronder zowel onderhouden als verouderde releases. Securitybedrijf Wiz waarschuwde eerder deze week al dat het lek actief wordt uitgebuit.
Gecompromitteerde systemen opsporen
Op GitHub is inmiddels een tool verschenen die organisaties helpt systemen die via MongoBleed zijn gecompromitteerd te detecteren. MongoBleed Detector is een offline command-line tool die JSON-logbestanden van MongoDB analyseert. Het heeft hiervoor geen netwerkconnectiviteit of aanvullende agents nodig.
De tool zoekt specifiek naar drie soorten events: connection accepted (22943), client metadata (51800), and connection closed (22944). De focus ligt daarbij op de metadata van deze events. Want waar MongoDB standaard metadata meestuurt, is dat bij de MongoBleed-exploit juist niet het geval.
Meer informatie is hier te vinden.
Meer over Security
Over Wouter Hoeffnagel
