Si vous utilisez MongoDB, accrochez-vous bien parce que là, c'est du lourd. Une faille critique baptisée MongoBLEED vient d'être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c'est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c'est qu'elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d'authentification, des clés de chiffrement... Bref, le jackpot pour un attaquant.

Le pire dans tout ça c'est que y'a pas besoin d'être authentifié pour exploiter la faille. Si votre instance MongoDB est accessible depuis le réseau, n'importe qui peut s'y connecter et commencer à siphonner votre mémoire. C'est exactement le même genre de cauchemar que Heartbleed en 2014, d'où le petit surnom affectueux.

Du coup, qui est concerné ?

Hé bien à peu près tout le monde... Les versions 3.6.0 jusqu'à 8.0.16 sont touchées, ce qui représente selon les chercheurs de Wiz environ 42% des environnements cloud. Il y aurait donc plus de 87 000 instances MongoDB exposées sur Internet et le problème, c'est que depuis le 26 décembre 2025, des exploitations actives ont été détectées dans la nature. Joyeux Noël !!

La bonne nouvelle, c'est que le fix est simple. Soit vous mettez à jour vers une version patchée (8.2.3+, 8.0.17+, 7.0.28+, 6.0.27+, 5.0.32+ ou 4.4.30+), soit vous désactivez la compression zlib en attendant. Pour ça, c'est dans la config réseau de MongoDB, paramètre compressors qu'il faut virer le zlib.

Pour vérifier si vous êtes vulnérable, un petit nmap sur le port 27017 avec le script mongodb-info vous dira quelle version tourne. Vous pouvez aussi regarder les logs réseau pour détecter des connexions suspectes avec des messages compressés anormalement petits suivis de réponses anormalement grandes. C'est le signe qu'un petit malin est en train de vous pomper la mémoire.

Bref, si vous avez du MongoDB qui traîne quelque part, c'est le moment de faire un petit tour dans vos infras. Parce que là, c'est quand même d'une faille qui permet à n'importe qui d'aspirer vos données sensibles sans même avoir besoin d'un mot de passe. Ubisoft en a fait les frais et ça pique !

Source

Vous jouez à Rainbow Six Siege ? Hé bien félicitations, vous êtes maintenant virtuellement millionnaire ! Enfin... l'étiez, parce que tout ça va être annulé.

Rainbow Six Siege X, le jeu d'Ubisoft victime d'un hack massif

Ce week-end, Ubisoft s'est fait pirater comme des jambons et pas qu'un peu. Des hackers ont réussi à distribuer 2 milliards de R6 Credits à TOUS les joueurs du jeu. Au tarif Ubisoft (15 000 crédits pour 99,99 dollars), ça représente environ 13,33 millions de dollars de monnaie virtuelle offerte gracieusement. Sympa les pirates ^^

Mais attendez, c'est pas tout ! Les attaquants ont également débloqué absolument tous les cosmétiques du jeu pour tout le monde, y compris les skins réservés aux développeurs que personne n'était censé avoir. Et pour couronner le tout, ils se sont amusés avec le système de bannissement du jeu. Résultat, des milliers de joueurs se sont retrouvés bannis puis débannis au hasard, pendant que le fil d'actualité des bans affichait des messages satiriques visant Ubisoft et ses dirigeants.

Les messages de ban détournés par les hackers formaient des phrases trop "golri", arf arf... ( Source )

Du coup, le streamer KingGeorge a immédiatement lancé l'alerte : "Ne vous connectez pas au jeu, ne dépensez pas de Renown, ne dépensez pas de Rainbow Credits". Sage conseil, parce que par le passé, Ubisoft a déjà banni des joueurs pour leurs propres erreurs. Pas cool.

Peu après le début du bordel, Ubisoft a donc coupé les serveurs et la marketplace pour tenter de contenir les dégâts. Les serveurs de Rainbow Six Siege sont toujours hors ligne au moment où j'écris ces lignes, sans ETA de retour. La bonne nouvelle, c'est qu'Ubisoft a confirmé qu'aucun joueur ne sera banni pour avoir dépensé les crédits reçus pendant l'incident, et qu'un rollback de toutes les transactions depuis 11h UTC est en cours.

Maintenant, le truc vraiment chaud c'est la méthode utilisée car selon le groupe de recherche en sécurité VX-Underground, plusieurs groupes de hackers auraient exploité Ubisoft en même temps. L'un d'eux aurait utilisé une faille MongoDB récemment découverte, baptisée MongoBleed (CVE-2025-14847). Cette vulnérabilité permet à n'importe qui de siphonner la mémoire des serveurs MongoDB exposés, récupérant au passage des credentials, des tokens d'authentification et des clés. Un PoC public circule depuis le 26 décembre et environ 87 000 instances MongoDB seraient vulnérables dans le monde (mettez à jour, hein !!).

Un autre groupe prétend avoir aussi utilisé cette faille pour se balader dans les dépôts Git internes d'Ubisoft et voler des archives de code source remontant jusqu'aux années 90. Ces affirmations restent non vérifiées pour l'instant, mais si c'est vrai, c'est du lourd...

Bref, si vous avez un compte Ubisoft, je vous conseille vivement de changer votre mot de passe et de retirer vos moyens de paiement enregistrés, au cas où. Et pour Rainbow Six Siege, patience, ça va revenir... probablement avec un rollback qui effacera tous ces beaux cadeaux empoisonnés.

Source