Una vulnerabilidad crítica en MongoDB expone 87.000 servidores y filtra credenciales

Una vulnerabilidad severa en MongoDB, bautizada como MongoBleed (CVE-2025-14847), está siendo explotada activamente en ataques reales. Con más de 87.000 servidores potencialmente vulnerables expuestos en internet, los atacantes pueden extraer credenciales, claves API y otros datos sensibles sin necesidad de autenticarse previamente.

La vulnerabilidad, que recibió una puntuación de gravedad de 8.7, cuenta con un parche disponible desde el 19 de diciembre para instancias auto-hospedadas. MongoDB la ha catalogado como una «corrección crítica».

El fallo: fuga de memoria antes de la autenticación

Investigadores de Ox Security descubrieron que el problema reside en cómo MongoDB procesa paquetes de red mediante la biblioteca zlib para compresión de datos. El servidor devuelve erróneamente la cantidad de memoria asignada en lugar de la longitud real de los datos descomprimidos.

Un atacante puede explotar esto enviando un mensaje malformado que declare un tamaño mayor al descomprimirse, lo que fuerza al servidor a asignar un búfer más grande y filtrar datos sensibles almacenados en memoria. Entre la información que puede extraerse se encuentran credenciales de bases de datos, claves de servicios cloud, tokens de sesión, información personal identificable e incluso logs internos y configuraciones del sistema.

Lo más preocupante es que la descompresión ocurre antes de la etapa de autenticación, por lo que no se requieren credenciales válidas para explotar la vulnerabilidad. El investigador de seguridad Kevin Beaumont confirmó que el exploit público funciona y que solo requiere la dirección IP de una instancia MongoDB para comenzar a extraer contraseñas de bases de datos —almacenadas en texto plano—, claves secretas de AWS y otros datos sensibles.

Alcance global del problema

Según datos de la plataforma Censys al 27 de diciembre, Estados Unidos lidera la exposición con casi 20.000 servidores vulnerables, seguido de China con aproximadamente 17.000 y Alemania con poco menos de 8.000.

En entornos cloud el panorama es igualmente preocupante. La plataforma de seguridad Wiz reporta que el 42% de los sistemas visibles tienen al menos una instancia de MongoDB en versión vulnerable, incluyendo tanto recursos internos como públicos. La compañía confirma haber observado explotación activa y recomienda priorizar la aplicación del parche.

Aunque no está verificado, algunos atacantes afirman haber utilizado MongoBleed en el reciente breach de Rainbow Six Siege de Ubisoft, donde los jugadores recibieron miles de millones de créditos no autorizados.

Versiones afectadas y respuesta

La lista de versiones impactadas es extensa, abarcando desde releases de finales de 2017 hasta noviembre de 2025. Esto incluye MongoDB 8.2.0 a 8.2.3, las series 8.0, 7.0, 6.0, 5.0 y 4.4 hasta sus versiones más recientes antes del parche, así como todas las versiones de MongoDB Server 4.2, 4.0 y 3.6. Los clientes de MongoDB Atlas, el servicio gestionado en la nube, ya recibieron el parche automáticamente y no necesitan tomar ninguna acción.

MongoDB recomienda actualizar inmediatamente a una versión segura: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30. La compañía indica que no existe workaround para la vulnerabilidad; si la actualización no es posible, la alternativa es deshabilitar la compresión zlib y utilizar Zstandard o Snappy como alternativas seguras.

Detección de compromisos

Eric Capuano, cofundador de Recon InfoSec, advierte que parchear no es suficiente y que las organizaciones deben buscar señales de compromiso en sus sistemas. El investigador recomienda revisar logs buscando direcciones IP de origen con cientos o miles de conexiones pero cero eventos de metadata, aunque advierte que atacantes sofisticados podrían modificar el exploit para evadir esta detección.

Para facilitar esta tarea, Florian Roth —creador del scanner THOR APT— publicó MongoBleed Detector, una herramienta que analiza logs de MongoDB para identificar posible explotación de la vulnerabilidad.