Mongodb

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

Pesquisadores das empresas OX Security e Wiz.io identificaram uma vulnerabilidade crítica no MongoDB, conhecida como MongoBleed (CVE-2025-14847), que já foi explorada em ataques a diversos sites e serviços, incluindo a Ubisoft. Essa falha permite que hackers acessem e vazem informações sensíveis da memória de servidores MongoDB, como senhas e chaves de API, sem necessidade de autenticação. A vulnerabilidade foi revelada em 24 de dezembro de 2025 e afeta todas as versões suportadas do MongoDB, da 3.6 à 8.2.2. A Ubisoft, que utiliza MongoDB em seus serviços, teve que interromper temporariamente o acesso ao jogo Rainbow Six Siege e seu marketplace devido a um ataque que explorou essa brecha. Para mitigar os riscos, as organizações que utilizam MongoDB devem atualizar suas versões imediatamente ou desativar a compressão zlib, que é a causa da vulnerabilidade. A primeira exploração pública foi demonstrada em 25 de dezembro, evidenciando a gravidade da situação e a necessidade urgente de ações corretivas.

O cenário de cibersegurança em 2025 foi marcado por uma série de incidentes que revelaram a vulnerabilidade de ferramentas amplamente utilizadas. Entre os principais eventos, destaca-se a exploração da vulnerabilidade CVE-2025-14847 no MongoDB, que afeta mais de 87 mil instâncias globalmente, permitindo que atacantes não autenticados acessem dados sensíveis. Além disso, um ataque à extensão do Chrome do Trust Wallet resultou em perdas de aproximadamente US$ 7 milhões, após a publicação de uma versão maliciosa da extensão. Outro incidente significativo foi a campanha de espionagem cibernética do grupo Evasive Panda, que utilizou envenenamento de DNS para implantar o malware MgBot em alvos na Turquia, China e Índia. A violação de dados da LastPass em 2022 também teve consequências prolongadas, com a exploração de senhas fracas resultando em um roubo de criptomoedas de pelo menos US$ 35 milhões. Por fim, um pacote malicioso no repositório npm, que se passava por uma API do WhatsApp, foi baixado mais de 56 mil vezes, permitindo que atacantes interceptassem mensagens dos usuários. Esses eventos ressaltam a necessidade urgente de atualizações e monitoramento contínuo das infraestruturas de TI.

Uma vulnerabilidade crítica no MongoDB, identificada como CVE-2025-14847, está sendo ativamente explorada, com mais de 87 mil instâncias potencialmente vulneráveis em todo o mundo. Com uma pontuação CVSS de 8.7, a falha permite que atacantes não autenticados vazem dados sensíveis da memória do servidor MongoDB. O problema está relacionado à implementação da descompressão de mensagens zlib no MongoDB, que é a configuração padrão. Ao enviar pacotes de rede malformados, um atacante pode extrair fragmentos de dados privados, incluindo informações de usuários, senhas e chaves de API. Embora a exploração exija o envio de um grande volume de requisições, o tempo disponível para o atacante aumenta a quantidade de dados que podem ser coletados. A empresa de segurança Wiz alerta que 42% dos ambientes em nuvem têm pelo menos uma instância do MongoDB em versões vulneráveis. Para mitigar o problema, recomenda-se atualizar para versões seguras do MongoDB e desativar a compressão zlib. Além disso, é aconselhável restringir a exposição da rede dos servidores MongoDB e monitorar logs em busca de conexões anômalas.

Uma falha de segurança de alta gravidade foi identificada no MongoDB, permitindo que usuários não autenticados leiam memória heap não inicializada. A vulnerabilidade, classificada como CVE-2025-14847 com uma pontuação CVSS de 8.7, resulta de um tratamento inadequado de inconsistências no parâmetro de comprimento. Isso ocorre quando um programa não lida corretamente com situações em que um campo de comprimento não corresponde ao tamanho real dos dados associados. A falha afeta várias versões do MongoDB, incluindo as versões 8.2.0 a 8.2.3, 8.0.0 a 8.0.16, e versões anteriores até a 3.6. A MongoDB já lançou correções nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Caso a atualização imediata não seja viável, recomenda-se desabilitar a compressão zlib no servidor MongoDB. A exploração dessa falha pode resultar na divulgação de dados sensíveis que podem auxiliar um atacante em futuras explorações.