CVE-2025-14847 Haavoittuvuus
Äskettäin paljastunutta MongoDB-haavoittuvuutta hyödynnetään aktiivisesti todellisissa hyökkäyksissä, mikä vaarantaa kymmeniätuhansia tietokantainstansseja maailmanlaajuisesti. Tietoturvatutkijat ovat tunnistaneet yli 87 000 mahdollisesti haavoittuvaa MongoDB-käyttöönottoa, mikä tekee tästä ongelmasta merkittävän huolenaiheen organisaatioille, jotka ovat riippuvaisia MongoDB:stä tuotantoympäristöissä.
Sisällysluettelo
CVE-2025-14847:n ymmärtäminen
Tämä vakava haavoittuvuus, jonka CVE-2025-14847-haavoittuvuus on luokiteltu CVSS-asteikolla 8,7, on saanut koodinimen MongoBleed. Se mahdollistaa todentamattomien etähyökkääjien vuotaa arkaluonteisia tietoja suoraan MongoDB-palvelimen muistista ilman voimassa olevia tunnistetietoja tai käyttäjän toimia.
Haavoittuvuutta voidaan hyödyntää ennen todennusta, mikä lisää dramaattisesti sen riskiprofiilia, erityisesti internetissä olevilla MongoDB-palvelimilla.
Perimmäinen syy: zlib-pakkaus epäonnistui
Haavoittuvuus johtuu MongoDB Serverin zlib-pohjaisen viestien pakkauslogiikan puutteesta, erityisesti message_compressor_zlib.cpp-komponentissa. MongoDB ottaa zlib-pakkauksen käyttöön oletusarvoisesti, mikä tarkoittaa, että monet käyttöönotot kärsivät, ellei niitä erikseen konfiguroida uudelleen.
Lähettämällä virheellisesti muotoiltuja pakattuja verkkopaketteja hyökkääjä voi hyödyntää purettujen datapituuksien virheellistä käsittelyä. Pakatun sisällön todellisen koon palauttamisen sijaan kyseinen logiikka palauttaa koko allokoidun puskurikoon. Tämä virhe voi paljastaa alustamatonta kekomuistia, jolloin hyökkääjät voivat hakea vierekkäisten arkaluonteisten tietojen osia.
Mitä hyökkääjät voivat varastaa
Onnistunut hyväksikäyttö voi johtaa palvelimen muistiin tallennettujen erittäin arkaluonteisten tietojen, kuten käyttäjätietojen, salasanojen ja API-avainten, paljastumiseen. Vaikka hyökkääjien on ehkä lähetettävä suuri määrä pyyntöjä merkityksellisen tiedon rekonstruoimiseksi ja jotkut vuotaneet tiedot voivat olla epäolennaisia, riski kasvaa ajan myötä. Mitä pidempään hyökkääjällä on pääsy palvelimelle, sitä enemmän tietoa voidaan mahdollisesti kerätä.
Pilvipalveluiden tietoturva-analyytikot vahvistavat, että hyökkäys ei vaadi todennusta eikä käyttäjän toimia, mikä tekee internetiin kytkeytyvistä MongoDB-palvelimista erityisen haavoittuvaisia.
Laajuus ja globaali altistuminen
Analyysi osoittaa, että haavoittuvaiset MongoDB-instanssit ovat laajalti levinneet ympäri maailmaa, ja suurin osa niistä on Yhdysvalloissa, Kiinassa, Saksassa, Intiassa ja Ranskassa. Tutkijat raportoivat myös, että 42 prosentissa pilviympäristöistä on vähintään yksi MongoDB-instanssi, jossa on CVE-2025-14847-haavoittuvuus. Haavoittuvuus kattaa sekä julkisesti altistuneita järjestelmiä että sisäisen infrastruktuurin.
Tällä hetkellä aktiivisen hyväksikäytön kampanjoissa käytetyt tarkat tekniikat ovat edelleen epäselviä.
Korjaukset, ongelmalliset ohjelmistot ja laajempi vaikutus
MongoDB on julkaissut korjauksia useille tuetuille haaroille, ja korjauspäivitykset on jo otettu käyttöön MongoDB Atlasissa. Organisaatioiden tulisi päivittää välittömästi johonkin seuraavista turvallisista versioista:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 tai 4.4.30
On myös tärkeää huomata, että ongelma ei koske ainoastaan MongoDB:tä. Haavoittuvuus vaikuttaa myös Ubuntun rsync-pakettiin, koska se käyttää samaa zlib-pakkauskirjastoa.
Lieventämisstrategiat korjausten aikana
Ympäristöissä, joissa välitön korjaaminen ei ole mahdollista, useat väliaikaiset lieventävät toimenpiteet voivat vähentää altistumista merkittävästi:
- Poista zlib-pakkaus käytöstä käynnistämällä mongod tai mongos ja määrittämällä networkMessageCompressors- tai net.compression.compressors-asetus pois zlib-pakkauksesta.
- Rajoita verkon altistumista rajoittamalla pääsyä MongoDB-palvelimille ja valvomalla lokeja tarkasti epäilyttävien todennusta edeltävien yhteysyritysten varalta
Loppuarviointi
MongoBleed on vakava uhka helpon hyödyntämisen, todennusvaatimusten puuttumisen ja laajan altistumisen vuoksi. MongoDB:tä käyttävien organisaatioiden tulisi käsitellä CVE-2025-14847:ää ensisijaisena korjaustoimenpiteenä, asentaa korjaukset viipymättä ja varmistaa, että tarpeeton verkkoaltistuminen poistetaan aina kun mahdollista.
