آسیب‌پذیری CVE-2025-14847

یک آسیب‌پذیری تازه افشا شده در MongoDB به طور فعال در حملات دنیای واقعی مورد سوءاستفاده قرار می‌گیرد و ده‌ها هزار نمونه پایگاه داده را در سراسر جهان در معرض خطر قرار می‌دهد. محققان امنیتی بیش از ۸۷۰۰۰ استقرار MongoDB آسیب‌پذیر را شناسایی کرده‌اند که این موضوع را به نگرانی مهمی برای سازمان‌هایی که در محیط‌های عملیاتی به MongoDB متکی هستند، تبدیل می‌کند.

درک CVE-2025-14847

این آسیب‌پذیری با شدت بالا که با شناسه CVE-2025-14847 ردیابی و در مقیاس CVSS امتیاز ۸.۷ را کسب کرده است، با نام رمز MongoBleed شناخته می‌شود. این آسیب‌پذیری به مهاجمان راه دور غیرمجاز اجازه می‌دهد تا داده‌های حساس را مستقیماً از حافظه سرور MongoDB، بدون نیاز به اعتبارنامه‌های معتبر یا تعامل با کاربر، نشت دهند.

این نقص قبل از احراز هویت قابل بهره‌برداری است، که به طور چشمگیری ریسک آن را افزایش می‌دهد، به خصوص برای سرورهای MongoDB که در معرض اینترنت قرار دارند.

علت ریشه‌ای: فشرده‌سازی zlib دچار مشکل شده است

این آسیب‌پذیری از نقصی در منطق رفع فشار پیام مبتنی بر zlib در سرور MongoDB، به‌ویژه در مؤلفه‌ی message_compressor_zlib.cpp، ناشی می‌شود. MongoDB به‌طور پیش‌فرض فشرده‌سازی zlib را فعال می‌کند، به این معنی که بسیاری از پیاده‌سازی‌ها تحت تأثیر قرار می‌گیرند، مگر اینکه به‌طور صریح پیکربندی مجدد شوند.

با ارسال بسته‌های شبکه فشرده‌شده‌ی ناقص، یک مهاجم می‌تواند از مدیریت نادرست طول داده‌های فشرده‌شده سوءاستفاده کند. منطق آسیب‌دیده به جای بازگرداندن اندازه واقعی محتوای فشرده‌شده، اندازه کامل بافر اختصاص داده‌شده را برمی‌گرداند. این اشتباه می‌تواند حافظه‌ی هیپ مقداردهی نشده را در معرض خطر قرار دهد و به مهاجمان اجازه دهد قطعاتی از داده‌های حساس مجاور را بازیابی کنند.

آنچه مهاجمان می‌توانند بدزدند

سوءاستفاده موفقیت‌آمیز ممکن است منجر به افشای اطلاعات بسیار حساس ذخیره‌شده در حافظه سرور، از جمله سوابق کاربر، رمزهای عبور و کلیدهای API شود. در حالی که مهاجمان ممکن است نیاز به ارسال حجم زیادی از درخواست‌ها برای بازسازی داده‌های معنادار داشته باشند و برخی از قطعات فاش‌شده ممکن است نامربوط باشند، اما این خطر با گذشت زمان افزایش می‌یابد. هرچه مهاجم دسترسی خود را طولانی‌تر حفظ کند، می‌تواند داده‌های بیشتری را به‌طور بالقوه برداشت کند.

تحلیلگران امنیت ابری تأیید می‌کنند که این حمله نیازی به احراز هویت و تعامل با کاربر ندارد و سرورهای MongoDB متصل به اینترنت را به ویژه آسیب‌پذیر می‌کند.

دامنه و نمایش جهانی

تجزیه و تحلیل نشان می‌دهد که نمونه‌های MongoDB آسیب‌دیده به طور گسترده در سراسر جهان توزیع شده‌اند و تمرکز بالایی در ایالات متحده، چین، آلمان، هند و فرانسه دارند. محققان همچنین گزارش می‌دهند که ۴۲٪ از محیط‌های ابری حداقل یک نمونه MongoDB دارند که نسخه‌ای آسیب‌پذیر به CVE-2025-14847 را اجرا می‌کند و هم سیستم‌های در معرض دید عموم و هم زیرساخت‌های داخلی را در بر می‌گیرد.

در حال حاضر، تکنیک‌های دقیق مورد استفاده در کمپین‌های بهره‌برداری فعال هنوز مشخص نیست.

وصله‌ها، نرم‌افزارهای آسیب‌دیده و تأثیر گسترده‌تر

MongoDB اصلاحاتی را در چندین شاخه پشتیبانی‌شده منتشر کرده است و وصله‌ها قبلاً برای MongoDB Atlas اعمال شده‌اند. سازمان‌ها باید فوراً به یکی از نسخه‌های امن زیر ارتقا دهند:

مونگو دی‌بی ۸.۲.۳، ۸.۰.۱۷، ۷.۰.۲۸، ۶.۰.۲۷، ۵.۰.۳۲ یا ۴.۴.۳۰

همچنین لازم به ذکر است که این مشکل منحصر به MongoDB نیست. این آسیب‌پذیری بسته‌ی Ubuntu rsync را نیز تحت تأثیر قرار می‌دهد، زیرا به همان کتابخانه‌ی فشرده‌سازی zlib وابسته است.

استراتژی‌های کاهش خطر در حین وصله‌گذاری

برای محیط‌هایی که وصله‌گذاری فوری امکان‌پذیر نیست، چندین راهکار موقت می‌تواند میزان مواجهه را به میزان قابل توجهی کاهش دهد:

• فشرده‌سازی zlib را با شروع mongod یا mongos با گزینه networkMessageCompressors یا net.compression.compressors پیکربندی شده برای حذف zlib غیرفعال کنید.
• با محدود کردن دسترسی به سرورهای MongoDB و نظارت دقیق بر گزارش‌ها برای یافتن تلاش‌های مشکوک برای اتصال قبل از احراز هویت، میزان آسیب‌پذیری شبکه را کاهش دهید.

ارزیابی نهایی

MongoBleed به دلیل سهولت سوءاستفاده، عدم الزامات احراز هویت و افشای گسترده، یک تهدید جدی محسوب می‌شود. سازمان‌هایی که MongoDB را اجرا می‌کنند باید CVE-2025-14847 را به عنوان یک مورد اصلاح با اولویت بالا در نظر بگیرند، وصله‌ها را بدون تأخیر اعمال کنند و اطمینان حاصل کنند که افشای غیرضروری شبکه در هر کجا که ممکن است حذف شود.