Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat CVE-2025-14847

Vulnerabilitat CVE-2025-14847

El Mezo el Vulnerabilitat
Traduir a:

Una vulnerabilitat de MongoDB recentment revelada s'està explotant activament en atacs del món real, posant en risc desenes de milers d'instàncies de bases de dades a tot el món. Investigadors de seguretat han identificat més de 87.000 implementacions de MongoDB potencialment vulnerables, cosa que converteix aquest problema en una preocupació important per a les organitzacions que depenen de MongoDB en entorns de producció.

Comprensió de la CVE-2025-14847

Registrada com a CVE-2025-14847 i qualificada amb un 8,7 a l'escala CVSS, aquesta vulnerabilitat d'alta gravetat ha rebut el nom en clau MongoBleed. Permet a atacants remots no autenticats filtrar dades sensibles directament de la memòria del servidor MongoDB, sense requerir credencials vàlides ni interacció de l'usuari.

La falla és explotable abans de l'autenticació, cosa que augmenta dràsticament el seu perfil de risc, especialment per als servidors MongoDB exposats a Internet.

Causa principal: la compressió de zlib ha anat malament

La vulnerabilitat prové d'una fallada en la lògica de descompressió de missatges basada en zlib del servidor MongoDB, concretament dins del component message_compressor_zlib.cpp. MongoDB habilita la compressió zlib per defecte, cosa que significa que moltes implementacions es veuen afectades tret que es reconfiguren explícitament.

En enviar paquets de xarxa comprimits amb format incorrecte, un atacant pot explotar una gestió incorrecta de les longituds de dades descomprimides. En lloc de retornar la mida real del contingut descomprimit, la lògica afectada retorna la mida total de la memòria intermèdia assignada. Aquest error pot exposar la memòria heap no inicialitzada, permetent als atacants recuperar fragments de dades sensibles adjacents.

Què poden robar els atacants

Una explotació reeixida pot provocar l'exposició d'informació altament sensible emmagatzemada a la memòria del servidor, inclosos els registres d'usuari, les contrasenyes i les claus API. Tot i que els atacants poden necessitar enviar un gran volum de sol·licituds per reconstruir dades significatives, i alguns fragments filtrats poden ser irrellevants, el risc augmenta amb el temps. Com més temps mantingui l'accés un atacant, més dades es poden recopilar potencialment.

Els analistes de seguretat al núvol confirmen que l'atac no requereix autenticació ni interacció de l'usuari, cosa que fa que els servidors MongoDB connectats a Internet siguin especialment vulnerables.

Abast i exposició global

L'anàlisi mostra que les instàncies de MongoDB afectades estan àmpliament distribuïdes arreu del món, amb una alta concentració als Estats Units, la Xina, Alemanya, l'Índia i França. Els investigadors també informen que el 42% dels entorns de núvol contenen almenys una instància de MongoDB que executa una versió vulnerable a CVE-2025-14847, que abasta tant sistemes exposats públicament com infraestructura interna.

Actualment, les tècniques precises utilitzades en les campanyes d'explotació activa no estan clares.

Pegats, programari afectat i impacte més ampli

MongoDB ha publicat correccions a diverses branques compatibles i ja s'han aplicat pegats a MongoDB Atlas. Les organitzacions haurien d'actualitzar immediatament a una de les versions segures següents:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30

També és important tenir en compte que el problema no és exclusiu de MongoDB. La vulnerabilitat també afecta el paquet rsync d'Ubuntu, a causa de la seva dependència de la mateixa biblioteca de compressió zlib.

Estratègies de mitigació durant la instal·lació de pegats

Per a entorns on no és factible aplicar pegats immediatament, diverses mesures de mitigació temporals poden reduir significativament l'exposició:

  • Desactiveu la compressió de zlib iniciant mongod o mongos amb l'opció networkMessageCompressors o net.compression.compressors configurada per excloure zlib.
  • Limiteu l'exposició de la xarxa restringint l'accés als servidors MongoDB i supervisant de prop els registres per detectar intents de connexió sospitosos de preautenticació.

Avaluació final

MongoBleed representa una amenaça greu a causa de la seva facilitat d'explotació, la manca de requisits d'autenticació i l'exposició generalitzada. Les organitzacions que executen MongoDB haurien de tractar CVE-2025-14847 com un element de remediació d'alta prioritat, aplicar pegats sense demora i assegurar-se que s'elimini l'exposició innecessària de la xarxa sempre que sigui possible.

Tendència

Més vist

Carregant...