Уязвимост CVE-2025-14847
Новоразкрита уязвимост на MongoDB се използва активно при атаки в реалния свят, излагайки на риск десетки хиляди екземпляри от бази данни по целия свят. Изследователи по сигурността са идентифицирали повече от 87 000 потенциално уязвими внедрявания на MongoDB, което прави този проблем сериозен проблем за организациите, разчитащи на MongoDB в производствени среди.
Съдържание
Разбиране на CVE-2025-14847
Проследена като CVE-2025-14847 и оценена с 8.7 по скалата на CVSS, тази уязвимост с висока степен на сериозност е с кодово име MongoBleed. Тя позволява на неавторизирани отдалечени нападатели да изтекат чувствителни данни директно от паметта на сървъра на MongoDB, без да се изискват валидни идентификационни данни или взаимодействие с потребителя.
Уязвимостта е експлоатираема преди удостоверяване, което драстично увеличава рисковия ѝ профил, особено за MongoDB сървъри, изложени на интернет.
Основна причина: Неправилно компресиране на zlib
Уязвимостта произлиза от недостатък в логиката за декомпресия на съобщения, базирана на zlib, на MongoDB Server, по-специално в компонента message_compressor_zlib.cpp. MongoDB активира zlib компресия по подразбиране, което означава, че много внедрявания са засегнати, освен ако не бъдат изрично преконфигурирани.
Чрез изпращане на деформирани компресирани мрежови пакети, нападателят може да се възползва от неправилно боравене с дължините на декомпресираните данни. Вместо да върне действителния размер на декомпресираното съдържание, засегнатата логика връща пълния размер на разпределения буфер. Тази грешка може да разкрие неинициализирана памет на купчината, което позволява на нападателите да извличат фрагменти от съседни чувствителни данни.
Какво могат да откраднат нападателите
Успешната експлоатация може да доведе до разкриване на високочувствителна информация, съхранявана в паметта на сървъра, включително потребителски записи, пароли и API ключове. Въпреки че нападателите може да се наложи да изпратят голям обем заявки, за да реконструират смислени данни, а някои изтекли фрагменти може да са неподходящи, рискът ескалира с времето. Колкото по-дълго нападателят поддържа достъп, толкова повече данни могат потенциално да бъдат събрани.
Анализаторите на облачната сигурност потвърждават, че атаката не изисква удостоверяване и взаимодействие с потребителя, което прави свързаните с интернет MongoDB сървъри особено уязвими.
Обхват и глобално присъствие
Анализът показва, че засегнатите инстанции на MongoDB са широко разпространени по целия свят, с висока концентрация в Съединените щати, Китай, Германия, Индия и Франция. Изследователите също така съобщават, че 42% от облачните среди съдържат поне една инстанция на MongoDB, работеща с версия, уязвима към CVE-2025-14847, обхващаща както публично изложени системи, така и вътрешна инфраструктура.
В момента точните техники, използвани в кампаниите за активна експлоатация, остават неясни.
Пачове, засегнат софтуер и по-широко въздействие
MongoDB пусна корекции в множество поддържани клонове, а корекциите вече са приложени към MongoDB Atlas. Организациите трябва незабавно да надстроят до една от следните защитени версии:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30
Важно е също да се отбележи, че проблемът не е единствено за MongoDB. Уязвимостта засяга и пакета rsync на Ubuntu, поради зависимостта му от същата zlib библиотека за компресия.
Стратегии за смекчаване на проблемите при инсталиране на кръпки
За среди, където незабавното инсталиране на корекции не е възможно, няколко временни мерки за смекчаване могат значително да намалят експозицията:
- Деактивирайте zlib компресията, като стартирате mongod или mongos с опцията networkMessageCompressors или net.compressors, конфигурирана да изключва zlib.
- Ограничете мрежовото излагане, като ограничите достъпа до MongoDB сървърите и следите внимателно лог файловете за подозрителни опити за свързване преди удостоверяване.
Окончателна оценка
MongoBleed представлява сериозна заплаха поради лекотата на експлоатация, липсата на изисквания за удостоверяване и широкото разпространение. Организациите, използващи MongoDB, трябва да третират CVE-2025-14847 като високоприоритетен инструмент за отстраняване, да прилагат корекции без забавяне и да гарантират, че ненужното мрежово излагане е елиминирано, където е възможно.
