CVE-2025-14847 Sårbarhed
En nyligt afsløret MongoDB-sårbarhed udnyttes aktivt i angreb i den virkelige verden, hvilket sætter titusindvis af databaseinstanser i fare verden over. Sikkerhedsforskere har identificeret mere end 87.000 potentielt sårbare MongoDB-implementeringer, hvilket gør dette problem til en betydelig bekymring for organisationer, der er afhængige af MongoDB i produktionsmiljøer.
Indholdsfortegnelse
Forståelse af CVE-2025-14847
Denne sårbarhed med høj alvorlighed, der er sporet som CVE-2025-14847 og vurderet til 8,7 på CVSS-skalaen, har fået kodenavnet MongoBleed. Den gør det muligt for uautoriserede eksterne angribere at lække følsomme data direkte fra MongoDB-serverhukommelsen uden at kræve gyldige legitimationsoplysninger eller brugerinteraktion.
Fejlen kan udnyttes før godkendelse, hvilket dramatisk øger risikoprofilen, især for MongoDB-servere, der er eksponeret til internettet.
Grundårsag: zlib-komprimering gik galt
Sårbarheden stammer fra en fejl i MongoDB Servers zlib-baserede meddelelsesdekomprimeringslogik, specifikt i message_compressor_zlib.cpp-komponenten. MongoDB aktiverer zlib-komprimering som standard, hvilket betyder, at mange implementeringer er berørt, medmindre de eksplicit omkonfigureres.
Ved at sende misdannede komprimerede netværkspakker kan en angriber udnytte forkert håndtering af dekomprimerede datalængder. I stedet for at returnere den faktiske størrelse af dekomprimeret indhold returnerer den berørte logik den fulde allokerede bufferstørrelse. Denne fejl kan eksponere uinitialiseret heap-hukommelse, hvilket giver angribere mulighed for at hente fragmenter af tilstødende følsomme data.
Hvad angribere kan stjæle
Succesfuld udnyttelse kan resultere i eksponering af meget følsomme oplysninger, der er gemt i serverhukommelsen, herunder brugerposter, adgangskoder og API-nøgler. Selvom angribere muligvis skal sende en stor mængde anmodninger for at rekonstruere meningsfulde data, og nogle lækkede fragmenter kan være irrelevante, eskalerer risikoen over tid. Jo længere en angriber opretholder adgang, jo flere data kan potentielt indsamles.
Cloud-sikkerhedsanalytikere bekræfter, at angrebet ikke kræver nogen godkendelse og ingen brugerinteraktion, hvilket gør internetvendte MongoDB-servere særligt sårbare.
Omfang og global eksponering
Analyser viser, at de berørte MongoDB-instanser er bredt fordelt over hele kloden, med en høj koncentration i USA, Kina, Tyskland, Indien og Frankrig. Forskere rapporterer også, at 42 % af cloud-miljøerne indeholder mindst én MongoDB-instans, der kører en version, der er sårbar over for CVE-2025-14847, og som spænder over både offentligt eksponerede systemer og intern infrastruktur.
På nuværende tidspunkt er de præcise teknikker, der anvendes i aktive udnyttelseskampagner, stadig uklare.
Programrettelser, berørt software og bredere indvirkning
MongoDB har udgivet rettelser på tværs af flere understøttede brancher, og der er allerede installeret programrettelser på MongoDB Atlas. Organisationer bør straks opgradere til en af følgende sikre versioner:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 eller 4.4.30
Det er også vigtigt at bemærke, at problemet ikke er eksklusivt for MongoDB. Sårbarheden påvirker også Ubuntu rsync-pakken, da den er afhængig af det samme zlib-komprimeringsbibliotek.
Afhjælpningsstrategier under patching
I miljøer, hvor øjeblikkelig patching ikke er mulig, kan adskillige midlertidige afhjælpende foranstaltninger reducere eksponeringen betydeligt:
- Deaktiver zlib-komprimering ved at starte mongod eller mongos med indstillingen networkMessageCompressors eller net.compression.compressors konfigureret til at ekskludere zlib.
- Begræns netværkseksponering ved at begrænse adgangen til MongoDB-servere og nøje overvåge logfiler for mistænkelige forsøg på forhåndsgodkendelse.
Slutvurdering
MongoBleed udgør en alvorlig trussel på grund af dens lette udnyttelse, manglende godkendelseskrav og udbredte eksponering. Organisationer, der kører MongoDB, bør behandle CVE-2025-14847 som et højprioriteret afhjælpningselement, installere programrettelser uden forsinkelse og sikre, at unødvendig netværkseksponering elimineres, hvor det er muligt.
