В России имеется около двух тысяч серверов, использующих популярную систему управления базами данных MongoDB, которые подвержены серьезной уязвимости, известной как MongoBleed. Об этом сообщил ведущий специалист PT Expert Security Center компании Positive Technologies Александр Леонов.
Уязвимость, имеющая идентификатор CVE-2025-1484, оценивается по максимальной 10-балльной шкале рисков в 8,7 балла, что позволяет считать ее критической. По словам специалиста, в мире существует более 80 тысяч серверов, работающих на этой СУБД, которая входит в пятерку самых популярных в мире. В России таких серверов около двух тысяч.
«Недостаток безопасности предоставляет неаутентифицированному злоумышленнику возможность выполнить код в системе и получить доступ к конфиденциальным данным организации, хранящимся в MongoDB, включая пароли, хранящиеся в открытом виде, токены авторизации, секретные ключи и многое другое», – заявил «Газете.Ru» Леонов.
Для успешного осуществления атаки, как пояснил эксперт, злоумышленнику необходим лишь IP-адрес целевого сервера. Найти такие адреса относительно просто с помощью специализированных поисковых систем, например, Shodan. Несмотря на то, что разработчики MongoDB выпустили патч для исправления уязвимости еще 19 декабря, киберпреступники уже несколько раз успели ее использовать.
Наиболее заметным инцидентом стала атака в минувшие выходные, в результате которой компания Ubisoft была вынуждена отключить серверы своей популярной онлайн-игры Rainbow Six: Siege. В данный момент у эксперта нет информации о успешных атаках на инфраструктуру российских компаний с использованием MongoBleed.
Ранее исследователь в области информационной безопасности Сергей Герасимов (СП SolidSoft и Yandex B2B Tech) совместно со старшим инженером по прикладным системам в FINRA Филиппом Охонко выявили критическую уязвимость безопасности в популярной панели управления веб-хостингом cPanel. Эта платформа используется для администрирования веб-сайтов и предлагает набор инструментов для хостинг-провайдеров и владельцев сайтов.
Глеб Баянов, AI Lab «Авито»: «ИИ принесет не менее 21 млрд рублей к 2028 году»
