ثغرة أمنية CVE-2025-14847

يتم استغلال ثغرة أمنية تم الكشف عنها حديثًا في قاعدة بيانات MongoDB بشكل مكثف في هجمات حقيقية، مما يعرض عشرات الآلاف من قواعد البيانات للخطر في جميع أنحاء العالم. وقد حدد باحثو الأمن أكثر من 87,000 قاعدة بيانات MongoDB معرضة لهذه الثغرة، مما يجعل هذه المشكلة مصدر قلق بالغ للمؤسسات التي تعتمد على MongoDB في بيئات الإنتاج.

فهم CVE-2025-14847

تم تتبع هذه الثغرة الأمنية الخطيرة تحت رقم CVE-2025-14847 وحصلت على تصنيف 8.7 على مقياس CVSS، وقد أُطلق عليها اسم MongoBleed. تسمح هذه الثغرة للمهاجمين عن بُعد غير المصرح لهم بتسريب بيانات حساسة مباشرةً من ذاكرة خادم MongoDB، دون الحاجة إلى بيانات اعتماد صحيحة أو تفاعل المستخدم.

يمكن استغلال هذا الخلل قبل المصادقة، مما يزيد بشكل كبير من مستوى المخاطر، خاصة بالنسبة لخوادم MongoDB المعرضة للإنترنت.

السبب الجذري: فشل ضغط zlib

تنشأ الثغرة الأمنية من خلل في منطق فك ضغط الرسائل القائم على مكتبة zlib في خادم MongoDB، وتحديدًا في مكون message_compressor_zlib.cpp. يُفعّل MongoDB ضغط zlib افتراضيًا، مما يعني أن العديد من عمليات النشر تتأثر ما لم يتم إعادة تهيئتها بشكل صريح.

من خلال إرسال حزم بيانات مضغوطة مشوهة، يستطيع المهاجم استغلال معالجة غير سليمة لأطوال البيانات غير المضغوطة. فبدلاً من إرجاع الحجم الفعلي للمحتوى غير المضغوط، تُرجع الآلية المتأثرة حجم المخزن المؤقت المخصص بالكامل. هذا الخطأ قد يكشف عن ذاكرة كومة غير مهيأة، مما يسمح للمهاجمين باسترجاع أجزاء من البيانات الحساسة المجاورة.

ما الذي يمكن للمهاجمين سرقته

قد يؤدي الاستغلال الناجح إلى كشف معلومات بالغة الحساسية مخزنة في ذاكرة الخادم، بما في ذلك سجلات المستخدمين وكلمات المرور ومفاتيح واجهة برمجة التطبيقات (API). ورغم أن المهاجمين قد يحتاجون إلى إرسال عدد كبير من الطلبات لاستعادة بيانات ذات معنى، وقد تكون بعض الأجزاء المسربة غير ذات صلة، إلا أن المخاطر تتفاقم بمرور الوقت. فكلما طالت مدة بقاء المهاجم في النظام، زادت كمية البيانات التي يمكن جمعها.

يؤكد محللو أمن الحوسبة السحابية أن الهجوم لا يتطلب مصادقة ولا تفاعلاً من المستخدم، مما يجعل خوادم MongoDB المواجهة للإنترنت عرضة للخطر بشكل خاص.

النطاق والانتشار العالمي

تُظهر التحليلات أن نسخ MongoDB المتأثرة موزعة على نطاق واسع في جميع أنحاء العالم، مع تركز كبير في الولايات المتحدة والصين وألمانيا والهند وفرنسا. كما أفاد الباحثون أن 42% من بيئات الحوسبة السحابية تحتوي على نسخة واحدة على الأقل من MongoDB تعمل بإصدار مُعرّض للثغرة الأمنية CVE-2025-14847، ويشمل ذلك الأنظمة العامة والبنية التحتية الداخلية.

في الوقت الحالي، لا تزال التقنيات الدقيقة المستخدمة في حملات الاستغلال النشطة غير واضحة.

التحديثات والبرامج المتأثرة والتأثير الأوسع

أصدرت MongoDB تحديثات لإصلاح الثغرات في العديد من الفروع المدعومة، وتم تطبيق هذه التحديثات بالفعل على MongoDB Atlas. ينبغي على المؤسسات الترقية فورًا إلى أحد الإصدارات الآمنة التالية:

MongoDB 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32، أو 4.4.30

من المهم أيضًا ملاحظة أن المشكلة لا تقتصر على MongoDB. فالثغرة الأمنية تؤثر على حزمة rsync في Ubuntu أيضًا، نظرًا لاعتمادها على مكتبة ضغط zlib نفسها.

استراتيجيات التخفيف أثناء عملية الترقيع

بالنسبة للبيئات التي لا يكون فيها إجراء التصحيح الفوري ممكناً، يمكن لعدة إجراءات تخفيف مؤقتة أن تقلل بشكل كبير من التعرض للثغرات الأمنية:

• قم بتعطيل ضغط zlib عن طريق تشغيل mongod أو mongos مع ضبط خيار networkMessageCompressors أو net.compression.compressors على استبعاد zlib
• قلل من انكشاف الشبكة عن طريق تقييد الوصول إلى خوادم MongoDB ومراقبة السجلات عن كثب بحثًا عن محاولات اتصال مشبوهة قبل المصادقة

التقييم النهائي

يمثل ثغرة MongoBleed تهديدًا خطيرًا نظرًا لسهولة استغلالها، وعدم وجود متطلبات مصادقة، وانتشارها الواسع. لذا، ينبغي على المؤسسات التي تستخدم MongoDB التعامل مع CVE-2025-14847 كأولوية قصوى للمعالجة، وتطبيق التحديثات الأمنية فورًا، والتأكد من إزالة أي ثغرات أمنية غير ضرورية في الشبكة قدر الإمكان.