Security

MongoBleed: Kritische MongoDB-Schwachstelle legt sensible Unternehmensdaten offen

MongoBleed: Kritische MongoDB-Schwachstelle legt sensible Unternehmensdaten offen

January 13, 2026

Kritische Schwachstelle legt Unternehmensdaten offen

Kurz vor Jahresende hat das BSI vor einer aktiv ausgenutzten Sicherheitslücke in MongoDB gewarnt. Die Schwachstelle mit der Kennung CVE-2025-14847, auch bekannt als „MongoBleed“, ermöglicht Angreifern, ohne Authentifizierung sensible Daten direkt aus dem Arbeitsspeicher von Datenbankservern auszulesen.

Besonders kritisch: Für die Lücke existiert bereits ein funktionierender Exploit – und Angriffe wurden in freier Wildbahn beobachtet.

Was macht MongoBleed so gefährlich?

MongoDB wird weltweit in tausenden produktiven Anwendungen eingesetzt – häufig als zentrale Datenbasis für Web- und Cloud-Anwendungen. Die Schwachstelle erlaubt es Angreifern, aus der Ferne unter anderem folgende Informationen auszulesen:

  • Datenbank-Passwörter im Klartext

  • API- und Cloud-Zugriffsschlüssel

  • Session-Tokens

  • personenbezogene Daten

  • interne Konfigurationen und Protokolle

Damit ist MongoBleed nicht nur ein Datenschutzproblem, sondern auch ein Einfallstor für weitergehende Angriffe wie Identitätsdiebstahl, Lateral Movement oder vollständige Systemübernahmen.

Angriffe laufen bereits – tausende Systeme betroffen

Nach aktuellen Erhebungen sind weltweit über 87.000 öffentlich erreichbare MongoDB-Instanzen verwundbar, allein in Deutschland rund 7.800 Systeme. Cloud-Security-Anbieter berichten, dass über 40 % aller Cloud-Umgebungen mindestens eine betroffene MongoDB-Instanz betreiben.

Die Schwachstelle wird aktiv ausgenutzt – unter anderem für:

  • automatisiertes Auslesen sensibler Daten

  • Vorbereitung weiterführender Angriffe

  • dauerhafte Kompromittierung von Systemen

Der Zeitraum zwischen Patch-Veröffentlichung und aktiver Ausnutzung wird dabei immer kürzer.

Wer ist betroffen?

Gefährdet sind:

  • alle selbst betriebenen MongoDB-Server, die nicht auf dem aktuellen Patch-Stand sind

  • insbesondere Systeme mit Standardkonfiguration (zlib-Kompression aktiv)

  • öffentlich erreichbare MongoDB-Instanzen

Nicht betroffen sind Kunden von MongoDB Atlas, da der Patch dort automatisch eingespielt wurde.

Was Unternehmen jetzt tun sollten

Für Entscheider ergeben sich klare Handlungsprioritäten:

1. Patchen hat höchste Priorität
Alle betroffenen MongoDB-Versionen sollten umgehend aktualisiert werden. Für veraltete (EoL-)Versionen ist ein Upgrade zwingend erforderlich.

2. Exponierte Datenbanken absichern
MongoDB-Server sollten niemals direkt aus dem Internet erreichbar sein. Der Zugriff muss strikt auf vertrauenswürdige Systeme beschränkt werden.

3. Kompromittierung prüfen
Unternehmen sollten ihre MongoDB-Logs auf Auffälligkeiten prüfen – insbesondere auf extrem hohe Verbindungsraten ohne Client-Metadaten, ein typisches Anzeichen für MongoBleed-Angriffe.

4. Notfallmaßnahmen ergreifen
Falls ein Patch kurzfristig nicht möglich ist, kann die zlib-Kompression temporär deaktiviert werden. Dies ist jedoch nur eine Übergangslösung.

Unser Fazit

MongoBleed zeigt einmal mehr, wie schnell sich Sicherheitslücken in geschäftskritischen Basistechnologien zu akuten Unternehmensrisiken entwickeln können. Entscheidend ist nicht nur das Patchen selbst, sondern auch die grundsätzliche Reduzierung der Angriffsfläche – insbesondere bei Datenbanken.

Unternehmen sollten diese Warnung zum Anlass nehmen, ihre Datenbank-Sicherheitsstrategie ganzheitlich zu überprüfen.

Quelle: BSI

Share this
Tweet this
Email this