Ευπάθεια CVE-2025-14847
Ένα πρόσφατα αποκαλυφθέν κενό ασφαλείας στο MongoDB αξιοποιείται ενεργά σε επιθέσεις στον πραγματικό κόσμο, θέτοντας σε κίνδυνο δεκάδες χιλιάδες παρουσίες βάσεων δεδομένων παγκοσμίως. Οι ερευνητές ασφαλείας έχουν εντοπίσει περισσότερες από 87.000 δυνητικά ευάλωτες αναπτύξεις MongoDB, καθιστώντας αυτό το ζήτημα σημαντικό πρόβλημα για τους οργανισμούς που βασίζονται στο MongoDB σε περιβάλλοντα παραγωγής.
Πίνακας περιεχομένων
Κατανόηση του CVE-2025-14847
Με την ένδειξη CVE-2025-14847 και βαθμολογία 8,7 στην κλίμακα CVSS, αυτή η ευπάθεια υψηλής σοβαρότητας έχει την κωδική ονομασία MongoBleed. Επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους εισβολείς να διαρρεύσουν ευαίσθητα δεδομένα απευθείας από τη μνήμη του διακομιστή MongoDB, χωρίς να απαιτούνται έγκυρα διαπιστευτήρια ή αλληλεπίδραση χρήστη.
Το ελάττωμα είναι εκμεταλλεύσιμο πριν από τον έλεγχο ταυτότητας, γεγονός που αυξάνει δραματικά το προφίλ κινδύνου του, ειδικά για διακομιστές MongoDB που εκτίθενται στο διαδίκτυο.
Βασική αιτία: Η συμπίεση zlib πήγε στραβά
Το θέμα ευπάθειας προέρχεται από ένα ελάττωμα στη λογική αποσυμπίεσης μηνυμάτων που βασίζεται σε zlib του MongoDB Server, συγκεκριμένα στο στοιχείο message_compressor_zlib.cpp. Το MongoDB ενεργοποιεί τη συμπίεση zlib από προεπιλογή, πράγμα που σημαίνει ότι πολλές αναπτύξεις επηρεάζονται εκτός εάν αναδιαμορφωθούν ρητά.
Αποστέλλοντας λανθασμένα μορφοποιημένα συμπιεσμένα πακέτα δικτύου, ένας εισβολέας μπορεί να εκμεταλλευτεί τον ακατάλληλο χειρισμό των αποσυμπιεσμένων μηκών δεδομένων. Αντί να επιστρέψει το πραγματικό μέγεθος του αποσυμπιεσμένου περιεχομένου, η επηρεαζόμενη λογική επιστρέφει το πλήρες μέγεθος του buffer που έχει εκχωρηθεί. Αυτό το σφάλμα μπορεί να εκθέσει τη μη αρχικοποιημένη μνήμη heap, επιτρέποντας στους εισβολείς να ανακτήσουν τμήματα παρακείμενων ευαίσθητων δεδομένων.
Τι μπορούν να κλέψουν οι επιτιθέμενοι
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει στην έκθεση εξαιρετικά ευαίσθητων πληροφοριών που είναι αποθηκευμένες στη μνήμη του διακομιστή, συμπεριλαμβανομένων των αρχείων χρηστών, των κωδικών πρόσβασης και των κλειδιών API. Ενώ οι εισβολείς ενδέχεται να χρειαστεί να στείλουν μεγάλο όγκο αιτημάτων για την ανακατασκευή σημαντικών δεδομένων και ορισμένα διαρρεύσαντα τμήματα μπορεί να είναι άσχετα, ο κίνδυνος κλιμακώνεται με την πάροδο του χρόνου. Όσο περισσότερο διατηρεί ένας εισβολέας πρόσβαση, τόσο περισσότερα δεδομένα μπορούν ενδεχομένως να συλλεχθούν.
Οι αναλυτές ασφάλειας cloud επιβεβαιώνουν ότι η επίθεση δεν απαιτεί έλεγχο ταυτότητας και καμία αλληλεπίδραση χρήστη, καθιστώντας τους διακομιστές MongoDB που είναι συνδεδεμένοι στο διαδίκτυο ιδιαίτερα ευάλωτους.
Πεδίο εφαρμογής και παγκόσμια έκθεση
Η ανάλυση δείχνει ότι οι επηρεαζόμενες παρουσίες MongoDB είναι ευρέως κατανεμημένες σε όλο τον κόσμο, με υψηλή συγκέντρωση στις Ηνωμένες Πολιτείες, την Κίνα, τη Γερμανία, την Ινδία και τη Γαλλία. Οι ερευνητές αναφέρουν επίσης ότι το 42% των περιβαλλόντων cloud περιέχουν τουλάχιστον μία παρουσία MongoDB που εκτελεί μια έκδοση ευάλωτη στο CVE-2025-14847, η οποία εκτείνεται τόσο σε δημόσια εκτεθειμένα συστήματα όσο και σε εσωτερικές υποδομές.
Προς το παρόν, οι ακριβείς τεχνικές που χρησιμοποιούνται στις εκστρατείες ενεργητικής εκμετάλλευσης παραμένουν ασαφείς.
Ενημερώσεις κώδικα, επηρεαζόμενο λογισμικό και ευρύτερος αντίκτυπος
Η MongoDB έχει κυκλοφορήσει διορθώσεις σε πολλά υποστηριζόμενα υποκαταστήματα και έχουν ήδη εφαρμοστεί ενημερώσεις κώδικα στο MongoDB Atlas. Οι οργανισμοί θα πρέπει να αναβαθμίσουν αμέσως σε μία από τις ακόλουθες ασφαλείς εκδόσεις:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ή 4.4.30
Είναι επίσης σημαντικό να σημειωθεί ότι το πρόβλημα δεν αφορά αποκλειστικά το MongoDB. Η ευπάθεια επηρεάζει και το πακέτο rsync του Ubuntu, λόγω της εξάρτησής του από την ίδια βιβλιοθήκη συμπίεσης zlib.
Στρατηγικές μετριασμού κατά την ενημέρωση κώδικα
Για περιβάλλοντα όπου η άμεση επιδιόρθωση δεν είναι εφικτή, αρκετά προσωρινά μέτρα μετριασμού μπορούν να μειώσουν σημαντικά την έκθεση:
- Απενεργοποιήστε τη συμπίεση zlib ξεκινώντας το mongod ή το mongos με την επιλογή networkMessageCompressors ή net.compression.compressors που έχει ρυθμιστεί ώστε να εξαιρεί το zlib.
- Περιορίστε την έκθεση στο δίκτυο περιορίζοντας την πρόσβαση στους διακομιστές MongoDB και παρακολουθώντας στενά τα αρχεία καταγραφής για ύποπτες προσπάθειες σύνδεσης πριν από τον έλεγχο ταυτότητας
Τελική Αξιολόγηση
Το MongoBleed αποτελεί σοβαρή απειλή λόγω της ευκολίας εκμετάλλευσής του, της έλλειψης απαιτήσεων ελέγχου ταυτότητας και της ευρείας έκθεσής του. Οι οργανισμοί που χρησιμοποιούν το MongoDB θα πρέπει να αντιμετωπίζουν το CVE-2025-14847 ως στοιχείο αποκατάστασης υψηλής προτεραιότητας, να εφαρμόζουν ενημερώσεις κώδικα χωρίς καθυστέρηση και να διασφαλίζουν ότι η περιττή έκθεση στο δίκτυο εξαλείφεται όπου είναι δυνατόν.
