Zranitelnost CVE-2025-14847
Nově odhalená zranitelnost MongoDB je aktivně zneužívána v reálných útocích a ohrožuje desítky tisíc instancí databází po celém světě. Bezpečnostní výzkumníci identifikovali více než 87 000 potenciálně zranitelných nasazení MongoDB, což z tohoto problému činí značný problém pro organizace, které se na MongoDB spoléhají v produkčním prostředí.
Obsah
Porozumění chybě CVE-2025-14847
Tato vysoce závažná zranitelnost, evidovaná jako CVE-2025-14847 a ohodnocená na stupnici CVSS stupnicí 8,7, dostala kódové označení MongoBleed. Umožňuje neověřeným vzdáleným útočníkům unikat citlivá data přímo z paměti serveru MongoDB, aniž by vyžadovala platné přihlašovací údaje nebo interakci s uživatelem.
Chyba je zneužitelná před ověřením, což dramaticky zvyšuje její rizikový profil, zejména pro servery MongoDB vystavené internetu.
Hlavní příčina: Špatná komprese zlib
Tato zranitelnost pochází z chyby v logice dekomprese zpráv založené na zlibu serveru MongoDB, konkrétně v komponentě message_compressor_zlib.cpp. MongoDB ve výchozím nastavení povoluje kompresi zlib, což znamená, že je ovlivněno mnoho nasazení, pokud není explicitně překonfigurováno.
Odesláním chybně formátovaných komprimovaných síťových paketů může útočník zneužít nesprávné zpracování délek dekomprimovaných dat. Místo vrácení skutečné velikosti dekomprimovaného obsahu vrací postižená logika plnou alokovanou velikost vyrovnávací paměti. Tato chyba může odhalit neinicializovanou paměť haldy, což útočníkům umožní načíst fragmenty sousedících citlivých dat.
Co mohou útočníci ukrást
Úspěšné zneužití může vést k odhalení vysoce citlivých informací uložených v paměti serveru, včetně uživatelských záznamů, hesel a klíčů API. I když útočníci mohou potřebovat odeslat velké množství požadavků k rekonstrukci smysluplných dat a některé uniklé fragmenty mohou být irelevantní, riziko se časem zvyšuje. Čím déle má útočník přístup, tím více dat může potenciálně získat.
Analytici cloudové bezpečnosti potvrzují, že útok nevyžaduje žádné ověřování ani interakci s uživatelem, což činí servery MongoDB s přístupem k internetu obzvláště zranitelnými.
Rozsah a globální expozice
Analýza ukazuje, že postižené instance MongoDB jsou široce rozšířené po celém světě, s vysokou koncentrací ve Spojených státech, Číně, Německu, Indii a Francii. Výzkumníci také uvádějí, že 42 % cloudových prostředí obsahuje alespoň jednu instanci MongoDB s verzí zranitelnou vůči CVE-2025-14847, a to jak na veřejně exponovaných systémech, tak i na interní infrastruktuře.
V současné době zůstávají přesné techniky používané v kampaních aktivního zneužívání nejasné.
Záplaty, dotčený software a širší dopad
Společnost MongoDB vydala opravy v několika podporovaných větvích a záplaty již byly použity i pro MongoDB Atlas. Organizace by měly okamžitě upgradovat na jednu z následujících zabezpečených verzí:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 nebo 4.4.30
Je také důležité poznamenat, že problém se netýká pouze MongoDB. Zranitelnost se týká i balíčku rsync pro Ubuntu, protože se spoléhá na stejnou kompresní knihovnu zlib.
Strategie zmírňování rizik při instalacích záplat
V prostředích, kde není okamžitá oprava proveditelná, může několik dočasných opatření výrazně snížit expozici:
- Zakažte kompresi zlib spuštěním mongodu nebo mongos s volbou networkMessageCompressors nebo net.compressors nakonfigurovanou tak, aby vylučovala zlib.
- Omezte vystavení sítě omezením přístupu k serverům MongoDB a pečlivým sledováním protokolů pro podezřelé pokusy o připojení před ověřením.
Závěrečné hodnocení
MongoBleed představuje vážnou hrozbu kvůli snadnému zneužití, absenci požadavků na ověřování a širokému spektru rizik. Organizace provozující MongoDB by měly považovat chybu CVE-2025-14847 za vysoce prioritní nápravnou akci, neprodleně aplikovat záplaty a zajistit, aby se všude, kde je to možné, eliminovalo zbytečné vystavení síti.
