Datenschutz & Sicherheit
MongoBleed: Mehr als 11.500 verwundbare MongoDB-Instanzen in Deutschland
IT-Admins kommen „zwischen den Jahren“ nicht zur Ruhe. Zu Weihnachten wurde eine hochriskante Sicherheitslücke in MongoDB mit dem Spitznamen „MongoBleed“ bekannt, durch die Angreifer aus dem Netz ohne vorherige Authentifizierung etwa an Zugangsdaten gelangen können, was an das „CitrixBleed“-Desaster Ende 2023 erinnert. Global sind zigtausende Systeme derzeit noch anfällig – und Deutschland landet mit mehr als 11.500 anfälligen Instanzen auf dem unrühmlichen dritten Platz.
Weiterlesen nach der Anzeige
Das berichten IT-Sicherheitsforscher von Resecurity in einem Blogbeitrag. Nachdem für die Schwachstelle CVE-2025-14847 (CVSS 8.7, Risiko „hoch“) Proof-of-Concept-Code zum Missbrauch öffentlich wurde, sind massenhafte Angriffe zu erwarten. Umso schwerer wiegt, dass Resecurity mit der Shodan-Datenbank bei der Suche nach MongoDB-Instanzen, die sich mit verwundbaren Versionen melden, weltweit fast 90.000 Instanzen gefunden hat.
Am meisten verwundbare Systeme stehe in China, 16.576 hat Shodan am Dienstag dieser Woche dort gefunden. An zweiter Stelle folgen die USA mit 14.486 anfälligen Instanzen, und auf Platz drei liegt bereits Deutschland mit 11.547 angreifbaren und im Netz erreichbaren MongoDB-Servern. Abgeschlagen geht es mit Hongkong weiter, wo immerhin noch 5.521 anfällige MongoDBs zu finden sind.
Deutscher Provider weltweit an der Spitze
Besonders auffällig ist Deutschland bei der Verteilung nach Providern. Weltweit auf Platz eins steht Hetzner Online GmbH, dort liegen 6.828 verwundbare MongoDB-Server. Erst danach folgt Alibaba Cloud (Aliyun) mit 6.226 attackierbaren Instanzen. Weitere namhafte Größen wie Google landen mit 3.364 exponierten, anfälligen MongoDB-Servern auf Platz fünf.
Eine Einschränkung nennt Resecurity noch: Um verwundbar zu sein, muss die zlib-Kompression aktiviert sein – was jedoch laut IT-Sicherheitsforschern oftmals die Standardkonfiguration darstellt. Admins sollten spätestens jetzt die verwundbaren Instanzen auf eine sichere Softwareversion aktualisieren, dafür steht MongoDB in Fassung 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 und neuer bereit. Ältere Versionen sind am End-of-Life angelangt und erhalten keinen Patch mehr. Wer nicht umgehend aktualisieren kann, soll laut Resecurity etwa die zlib-Kompression als temporäre Gegenmaßnahme deaktivieren oder zu einer alternativen Kompression wechseln sowie den Zugriff auf den MongoDB-Netzwerkport (standardmäßig 27017) etwa mittels Firewalls oder VPN beschränken.
(dmk)