CVE-2025-14847 দুর্বলতা

নতুন প্রকাশিত MongoDB দুর্বলতা বাস্তব-বিশ্বের আক্রমণে সক্রিয়ভাবে কাজে লাগানো হচ্ছে, যা বিশ্বব্যাপী হাজার হাজার ডাটাবেস ইনস্ট্যান্সকে ঝুঁকির মুখে ফেলেছে। নিরাপত্তা গবেষকরা ৮৭,০০০ এরও বেশি সম্ভাব্য ঝুঁকিপূর্ণ MongoDB স্থাপনা চিহ্নিত করেছেন, যা উৎপাদন পরিবেশে MongoDB-এর উপর নির্ভরশীল সংস্থাগুলির জন্য এই সমস্যাটিকে একটি গুরুত্বপূর্ণ উদ্বেগের বিষয় করে তুলেছে।

CVE-2025-14847 বোঝা

CVE-2025-14847 হিসেবে ট্র্যাক করা এবং CVSS স্কেলে 8.7 রেটিংপ্রাপ্ত, এই উচ্চ-তীব্রতার দুর্বলতার কোডনাম দেওয়া হয়েছে MongoBleed। এটি অননুমোদিত দূরবর্তী আক্রমণকারীদের বৈধ শংসাপত্র বা ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই সরাসরি MongoDB সার্ভার মেমরি থেকে সংবেদনশীল ডেটা ফাঁস করতে সক্ষম করে।

প্রমাণীকরণের আগে ত্রুটিটি কাজে লাগানো সম্ভব, যা এর ঝুঁকি প্রোফাইল নাটকীয়ভাবে বৃদ্ধি করে, বিশেষ করে ইন্টারনেটের সংস্পর্শে থাকা MongoDB সার্ভারগুলির জন্য।

মূল কারণ: zlib কম্প্রেশন ভুল হয়েছে

এই দুর্বলতাটি MongoDB সার্ভারের zlib-ভিত্তিক বার্তা ডিকম্প্রেশন লজিকের একটি ত্রুটি থেকে উদ্ভূত হয়েছে, বিশেষ করে message_compressor_zlib.cpp কম্পোনেন্টের মধ্যে। MongoDB ডিফল্টরূপে zlib কম্প্রেশন সক্ষম করে, যার অর্থ স্পষ্টভাবে পুনরায় কনফিগার না করা পর্যন্ত অনেক স্থাপনা প্রভাবিত হয়।

ত্রুটিপূর্ণ সংকুচিত নেটওয়ার্ক প্যাকেট প্রেরণের মাধ্যমে, একজন আক্রমণকারী ডিকম্প্রেসড ডেটা দৈর্ঘ্যের অনুপযুক্ত পরিচালনাকে কাজে লাগাতে পারে। ডিকম্প্রেসড কন্টেন্টের প্রকৃত আকার ফেরত দেওয়ার পরিবর্তে, প্রভাবিত লজিক সম্পূর্ণ বরাদ্দকৃত বাফার আকার ফেরত দেয়। এই ভুলটি অপ্রচলিত হিপ মেমোরি প্রকাশ করতে পারে, যার ফলে আক্রমণকারীরা সংলগ্ন সংবেদনশীল ডেটার টুকরো পুনরুদ্ধার করতে পারে।

আক্রমণকারীরা কী চুরি করতে পারে

সফল ব্যবহারের ফলে সার্ভার মেমোরিতে সংরক্ষিত অত্যন্ত সংবেদনশীল তথ্য, যার মধ্যে ব্যবহারকারীর রেকর্ড, পাসওয়ার্ড এবং API কী অন্তর্ভুক্ত, প্রকাশিত হতে পারে। যদিও আক্রমণকারীদের অর্থপূর্ণ ডেটা পুনর্গঠনের জন্য প্রচুর পরিমাণে অনুরোধ পাঠাতে হতে পারে এবং কিছু ফাঁস হওয়া টুকরো অপ্রাসঙ্গিক হতে পারে, সময়ের সাথে সাথে ঝুঁকি বৃদ্ধি পায়। আক্রমণকারী যত বেশি সময় ধরে অ্যাক্সেস বজায় রাখবে, তত বেশি ডেটা সম্ভাব্যভাবে সংগ্রহ করা সম্ভব হবে।

ক্লাউড নিরাপত্তা বিশ্লেষকরা নিশ্চিত করেছেন যে এই আক্রমণের জন্য কোনও প্রমাণীকরণ এবং ব্যবহারকারীর সাথে কোনও মিথস্ক্রিয়ার প্রয়োজন নেই, যা ইন্টারনেট-মুখী MongoDB সার্ভারগুলিকে বিশেষভাবে ঝুঁকিপূর্ণ করে তুলেছে।

ব্যাপ্তি এবং বিশ্বব্যাপী এক্সপোজার

বিশ্লেষণে দেখা গেছে যে প্রভাবিত MongoDB ইনস্ট্যান্সগুলি বিশ্বজুড়ে ব্যাপকভাবে বিতরণ করা হয়েছে, যার মধ্যে মার্কিন যুক্তরাষ্ট্র, চীন, জার্মানি, ভারত এবং ফ্রান্সে এর ঘনত্ব বেশি। গবেষকরা আরও জানিয়েছেন যে ৪২% ক্লাউড পরিবেশে কমপক্ষে একটি MongoDB ইনস্ট্যান্স রয়েছে যা CVE-2025-14847 এর জন্য ঝুঁকিপূর্ণ সংস্করণ চালাচ্ছে, যা প্রকাশ্যে উন্মুক্ত সিস্টেম এবং অভ্যন্তরীণ অবকাঠামো উভয়কেই বিস্তৃত করে।

বর্তমানে, সক্রিয় শোষণ অভিযানে ব্যবহৃত সুনির্দিষ্ট কৌশলগুলি অস্পষ্ট রয়ে গেছে।

প্যাচ, প্রভাবিত সফ্টওয়্যার এবং বিস্তৃত প্রভাব

MongoDB একাধিক সমর্থিত শাখায় সংশোধন প্রকাশ করেছে এবং MongoDB Atlas-এ ইতিমধ্যেই প্যাচ প্রয়োগ করা হয়েছে। প্রতিষ্ঠানগুলিকে অবিলম্বে নিম্নলিখিত সুরক্ষিত সংস্করণগুলির মধ্যে একটিতে আপগ্রেড করা উচিত:

মঙ্গোডিবি ৮.২.৩, ৮.০.১৭, ৭.০.২৮, ৬.০.২৭, ৫.০.৩২, অথবা ৪.৪.৩০

এটাও মনে রাখা গুরুত্বপূর্ণ যে সমস্যাটি কেবল MongoDB-এর জন্য নয়। দুর্বলতাটি উবুন্টু rsync প্যাকেজকেও প্রভাবিত করে, কারণ এটি একই zlib কম্প্রেশন লাইব্রেরির উপর নির্ভরশীল।

প্যাচিং করার সময় প্রশমন কৌশল

যেসব পরিবেশে তাৎক্ষণিকভাবে প্যাচিং করা সম্ভব নয়, সেখানে বেশ কিছু অস্থায়ী প্রশমন উল্লেখযোগ্যভাবে এক্সপোজার কমাতে পারে:

• zlib বাদ দেওয়ার জন্য কনফিগার করা networkMessageCompressors অথবা net.compression.compressors বিকল্প দিয়ে mongod অথবা mongos শুরু করে zlib কম্প্রেশন অক্ষম করুন।
• MongoDB সার্ভারে অ্যাক্সেস সীমাবদ্ধ করে এবং সন্দেহজনক প্রাক-প্রমাণীকরণ সংযোগ প্রচেষ্টার জন্য লগগুলি নিবিড়ভাবে পর্যবেক্ষণ করে নেটওয়ার্ক এক্সপোজার সীমিত করুন।

চূড়ান্ত মূল্যায়ন

MongoBleed এর ব্যবহার সহজ, প্রমাণীকরণের প্রয়োজনীয়তার অভাব এবং ব্যাপক এক্সপোজারের কারণে একটি গুরুতর হুমকি। MongoDB পরিচালনাকারী সংস্থাগুলির উচিত CVE-2025-14847 কে একটি উচ্চ-অগ্রাধিকার প্রতিকার আইটেম হিসাবে বিবেচনা করা, বিলম্ব না করে প্যাচ প্রয়োগ করা এবং যেখানেই সম্ভব অপ্রয়োজনীয় নেটওয়ার্ক এক্সপোজার অপসারণ করা নিশ্চিত করা।