CVE-2025-14847 haavatavus
Äsja avalikustatud MongoDB haavatavust kasutatakse aktiivselt ära reaalsetes rünnakutes, mis seab ohtu kümneid tuhandeid andmebaasi eksemplare kogu maailmas. Turvauurijad on tuvastanud enam kui 87 000 potentsiaalselt haavatavat MongoDB juurutust, mistõttu on see probleem märkimisväärne probleem organisatsioonidele, mis toetuvad MongoDB-le tootmiskeskkondades.
Sisukord
CVE-2025-14847 mõistmine
See kõrge raskusastmega haavatavus, mis on CVE-2025-14847 ja CVSS-i skaalal hinnatud 8,7-ks, on saanud koodnime MongoBleed. See võimaldab autentimata ründajatel lekitada tundlikke andmeid otse MongoDB serveri mälust ilma kehtivaid volitusi või kasutaja sekkumist nõudmata.
Seda viga on võimalik ära kasutada enne autentimist, mis suurendab dramaatiliselt selle riskiprofiili, eriti internetiga kokkupuutuvate MongoDB serverite puhul.
Põhjus: zlib-i tihendamine läks valesti
See haavatavus tuleneb MongoDB Serveri zlib-põhise sõnumite lahtipakkimise loogika veast, täpsemalt komponendis message_compressor_zlib.cpp. MongoDB lubab zlib-i tihendamist vaikimisi, mis tähendab, et paljud juurutused on mõjutatud, kui neid ei ole selgesõnaliselt ümber konfigureeritud.
Vigaselt vormindatud tihendatud võrgupakettide saatmisega saab ründaja ära kasutada lahti pakitud andmepikkuste ebaõiget käsitlemist. Lahti pakitud sisu tegeliku suuruse tagastamise asemel tagastab mõjutatud loogika kogu eraldatud puhvri suuruse. See viga võib paljastada initsialiseerimata kuhjamälu, mis võimaldab ründajatel hankida külgnevate tundlike andmete fragmente.
Mida ründajad saavad varastada
Edukas ärakasutamine võib kaasa tuua serverimällu salvestatud ülitundliku teabe, sealhulgas kasutajaandmete, paroolide ja API-võtmete, lekkimise. Kuigi ründajad võivad olla sunnitud saatma suure hulga päringuid oluliste andmete taastamiseks ja mõned lekkinud fragmendid võivad olla ebaolulised, suureneb risk aja jooksul. Mida kauem ründajal on juurdepääs, seda rohkem andmeid on potentsiaalselt võimalik koguda.
Pilveturbe analüütikud kinnitavad, et rünnak ei nõua autentimist ega kasutaja sekkumist, muutes internetiühendusega MongoDB serverid eriti haavatavaks.
Ulatus ja globaalne kokkupuude
Analüüs näitab, et mõjutatud MongoDB eksemplarid on laialt levinud üle kogu maailma, kusjuures suur kontsentratsioon on Ameerika Ühendriikides, Hiinas, Saksamaal, Indias ja Prantsusmaal. Teadlased teatavad ka, et 42% pilvekeskkondadest sisaldab vähemalt ühte MongoDB eksemplari, mis käitab CVE-2025-14847 suhtes haavatavat versiooni, hõlmates nii avalikult ohustatud süsteeme kui ka sisemist infrastruktuuri.
Praegu on aktiivse ärakasutamise kampaaniates kasutatavad täpsed tehnikad ebaselged.
Parandused, mõjutatud tarkvara ja laiem mõju
MongoDB on avaldanud parandusi mitmes toetatud harus ja plaastrid on juba rakendatud MongoDB Atlasile. Organisatsioonid peaksid viivitamatult uuendama ühele järgmistest turvalistest versioonidest:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 või 4.4.30
Samuti on oluline märkida, et probleem ei ole ainuomane MongoDB-le. See haavatavus mõjutab ka Ubuntu rsync paketti, kuna see tugineb samale zlib-i tihendusteegile.
Leevendusstrateegiad paigamise ajal
Keskkondades, kus kohene parandamine pole teostatav, võivad mitmed ajutised leevendusmeetmed kokkupuudet märkimisväärselt vähendada:
- Keelake zlib-i tihendamine, käivitades mongodi või mongose valikuga networkMessageCompressors või net.compression.compressors, mis on konfigureeritud zlib-i välistama.
- Piira võrgu kokkupuudet, piirates juurdepääsu MongoDB serveritele ja jälgides tähelepanelikult logisid kahtlaste eelautentimise ühenduse katsete suhtes
Lõplik hindamine
MongoBleed kujutab endast tõsist ohtu oma lihtsuse tõttu ära kasutada, autentimisnõuete puudumise ja laialdase kokkupuute tõttu. MongoDB-d käitavad organisatsioonid peaksid käsitlema CVE-2025-14847-t esmatähtsa parandusmeetmena, rakendama parandusi viivitamatult ja tagama, et ebavajalik võrgule sattumine oleks võimaluse korral välistatud.
