Feliz Año Nuevo, MongoDB: un exploit navideño dejó a los administradores de sistemas sin descanso y a 87.000 bases de datos sin protección
La vulnerabilidad MongoBleed expone datos sensibles de MongoDB y ya provoca una ola de escaneos.
Las agencias de ciberseguridad de Estados Unidos y Australia confirmaron que los hackers ya están explotando una nueva vulnerabilidad en sistemas de almacenamiento de datos basados en MongoDB. El problema se manifestó durante los días festivos y atrajo rápidamente la atención de especialistas, porque abre la puerta a la filtración de información sensible de las bases de datos.
Se trata de CVE-2025-14847. MongoDB informó sobre ella el 15 de diciembre y publicó una corrección el 19 de diciembre, pero el 25 de diciembre uno de los investigadores conocidos publicó código funcional para su explotación. Tras eso la situación siguió el escenario clásico: en cuanto aparece un exploit público, el número de intentos de ataque suele aumentar drásticamente, y en esta ocasión, según las advertencias de las agencias, así fue.
La agencia CISA el 29 de diciembre incluyó la vulnerabilidad en su catálogo de fallas explotadas activamente y obligó a las agencias civiles federales a aplicar la corrección antes del 19 de enero. CISA no especificó qué medidas se están tomando para proteger a las organizaciones y usuarios potencialmente afectados. El Centro Australiano de Ciberseguridad también emitió una advertencia y dijo conocer explotación activa de la vulnerabilidad en todo el mundo.
Según los investigadores, el problema afecta a un amplio rango de versiones del sistema de gestión de bases de datos MongoDB. La vulnerabilidad ya recibió el nombre no oficial MongoBleed, en analogía con otros incidentes recientes destacados en los que se jugó con la idea de una «fuga» de datos.
El investigador Eric Capuano explica la mecánica del ataque en términos sencillos: el atacante establece con el servidor una gran cantidad de conexiones rápidas, pueden ser decenas de miles por minuto. Esas conexiones prueban el sistema en busca de fugas de memoria y luego el atacante reúne fragmentos para reconstruir datos sensibles.
En Rapid7 aclaran que la vulnerabilidad es peligrosa porque, en ciertas condiciones, permite un acceso que elude los mecanismos de autenticación. Esto es particularmente crítico en instalaciones que, por error o por configuraciones débiles, están expuestas a Internet. En Wiz estimaron que en el 42% de los entornos en la nube hay al menos una instancia de MongoDB con una versión vulnerable, y los especialistas de la compañía confirmaron que muchos de esos sistemas accesibles desde Internet sí son susceptibles de ser atacados. Censys informó que observa alrededor de 87 000 instancias potencialmente vulnerables en todo el mundo, y la Shadowserver Foundation ofrece una estimación de 74 854.
En Rapid7 señalan que la combinación de disponibilidad masiva y facilidad de explotación históricamente casi siempre conduce a una oleada rápida de abusos. Según su evaluación, el escenario más probable ahora no son ataques dirigidos «a objetivos específicos», sino una búsqueda automática y amplia de servidores vulnerables en la red y intentos de extraer la mayor cantidad de datos posible donde se pueda. MongoDB se usa literalmente en todas partes: desde startups y servicios SaaS hasta grandes empresas y organismos gubernamentales, por lo que las consecuencias dependen, ante todo, de cuánto actualice y configure cada organización sus bases.
La alarma aumentó porque la explotación fue confirmada por especialistas independientes. Kevin Beaumont verificó el código publicado y afirmó que con su ayuda se pueden extraer, por ejemplo, contraseñas de bases de datos, claves secretas de AWS y otros datos que a menudo quedan en la memoria o en el entorno de las aplicaciones.