MongoDB veritabanında yılbaşından beri bilinen ve o günden bu yana saldırıya uğrayan yüksek riskli güvenlik açığı, güncellenen yazılım veya konfigürasyon değişiklikleriyle kapatılabiliyor. Ancak yılbaşı gecesi, potansiyel olarak savunmasız olan on binlerce örneğe internette hâlâ erişilebilir durumdaydı. Kendi sunucularınızın saldırıya uğrayıp uğramadığını ve hatta muhtemelen tehlikeye atılıp atılmadığını araştırmak şu ana kadar biraz zahmetli oldu. Florian Roth'un “MongoBleed Detector” adlı küçük bir aracı bunu değiştiriyor.
Reklamdan sonra devamını okuyun
MongoBleed Detector Github'da mevcuttur ve bakımı yazar tarafından yapılmaktadır. MongoDB sunucusunu güncelledikten sonra, MongoBleed güvenlik açığı CVE-2025-14847'nin olası kötüye kullanımını tespit etmek için veritabanını onunla taramanız önerilir.
Aracın bunun için çeşitli modları vardır. Örneğin bağlantı olayları ve eksik meta veriler yoluyla (yalnızca belirli bir kavram kanıtından yararlanma durumunda meydana gelen) günlük korelasyonuna ek olarak yöneticiler, anlık görüntüleri aşağıdakileri kullanarak kullanabilir: serverStatus.asserts araştırmak. BT araştırmacıları, “kullanıcı” değerinin birkaç kat daha yüksek olması nedeniyle bunu saldırı girişimlerinin güvenilir bir göstergesi olarak tanımladılar. Burada da sunulan Tam Zamanlı Tanısal Veri Yakalama (FTDC) MongoDB alt sistemini temel alan analiz, sonuçta MongoBleed Dedektörünün üçüncü tespit yöntemi olarak kullanılabilir.
Yerel ve uzaktan kullanılabilir
MongoBleed Dedektörü yerel MongoDB verilerini analiz eder ancak başka bir komut dosyasına sahip ana bilgisayarları içeren bir dosyayla kullanılabilir mongobleed-remote.py ayrıca uzak sistemlere SSH aracılığıyla erişip bunları inceleyebilirsiniz. Roth, projenin Github sayfasında işlevleri ve seçenekleri ayrıntılı olarak açıklıyor.
Florian Roth BT güvenlik çevrelerine yabancı değil. Ayrıca sistemleri uzlaşma göstergeleri (IOC'ler) açısından incelemek için kullanılabilecek “Thor” aracını da programlıyor. Analiz aracı aynı zamanda c't-Disinfec't'in “Thor Lite” versiyonuna da dahil edilmiştir.
(DMK)
Bir yanıt yazın