פגיעות CVE-2025-14847

פגיעות חדשה ב-MongoDB מנוצלת באופן פעיל במתקפות בעולם האמיתי, ומציבה עשרות אלפי מופעי מסד נתונים בסיכון ברחבי העולם. חוקרי אבטחה זיהו יותר מ-87,000 פריסות MongoDB פוטנציאליות פגיעות, מה שהופך בעיה זו לדאגה משמעותית עבור ארגונים המסתמכים על MongoDB בסביבות ייצור.

הבנת CVE-2025-14847

פגיעות זו, בעלת חומרה גבוהה, אותרה כ-CVE-2025-14847 ודורגה 8.7 בסולם CVSS, קיבלה את שם הקוד MongoBleed. היא מאפשרת לתוקפים מרוחקים לא מאומתים לדלוף נתונים רגישים ישירות מזיכרון שרת MongoDB, מבלי לדרוש אישורים תקפים או התערבות משתמש.

הפגם ניתן לניצול עוד לפני האימות, מה שמגדיל באופן דרמטי את פרופיל הסיכון שלו, במיוחד עבור שרתי MongoDB החשופים לאינטרנט.

שורש הבעיה: דחיסת zlib השתבשה

הפגיעות נובעת מפגם בלוגיקת פירוק דחיסה של הודעות מבוססת zlib של שרת MongoDB, במיוחד בתוך רכיב message_compressor_zlib.cpp. MongoDB מאפשר דחיסת zlib כברירת מחדל, כלומר פריסות רבות מושפעות אלא אם כן הן מוגדרות מחדש במפורש.

על ידי שליחת חבילות רשת דחוסות בעלות מבנה שגוי, תוקף יכול לנצל טיפול לא תקין באורכי נתונים שעברו פירוק דחיסה. במקום להחזיר את הגודל האמיתי של התוכן שעבר פירוק דחיסה, הלוגיקה המושפעת מחזירה את מלוא גודל המאגר שהוקצה. טעות זו עלולה לחשוף זיכרון ערימה לא מאותחל, מה שמאפשר לתוקפים לאחזר קטעים של נתונים רגישים סמוכים.

מה תוקפים יכולים לגנוב

ניצול מוצלח של המידע עלול לגרום לחשיפת מידע רגיש ביותר המאוחסן בזיכרון השרת, כולל רשומות משתמשים, סיסמאות ומפתחות API. בעוד שתוקפים עשויים להזדקק לשלוח כמות גדולה של בקשות כדי לשחזר נתונים משמעותיים, וחלק מהקטעים שדלפו עשויים להיות לא רלוונטיים, הסיכון עולה עם הזמן. ככל שתוקף שומר על גישה זמן רב יותר, כך ניתן לאסוף יותר נתונים.

אנליסטים של אבטחת ענן מאשרים כי ההתקפה אינה דורשת אימות ואינה דורשת אינטראקציה עם המשתמש, מה שהופך את שרתי MongoDB הפונים לאינטרנט לפגיעים במיוחד.

היקף וחשיפה גלובלית

ניתוח מראה כי מופעי MongoDB שנפגעו מפוזרים באופן נרחב ברחבי העולם, עם ריכוז גבוה בארצות הברית, סין, גרמניה, הודו וצרפת. חוקרים מדווחים גם כי 42% מסביבות הענן מכילות לפחות מופע MongoDB אחד שמפעיל גרסה פגיעה ל-CVE-2025-14847, הן במערכות שנחשפו לציבור והן בתשתיות פנימיות.

נכון לעכשיו, הטכניקות המדויקות בהן משתמשים בקמפיינים לניצול אקטיבי נותרות לא ברורות.

תיקונים, תוכנות מושפעות והשפעה רחבה יותר

MongoDB פרסמה תיקונים במספר ענפים נתמכים, ותיקונים כבר הוחלו על MongoDB Atlas. ארגונים צריכים לשדרג באופן מיידי לאחת מהגרסאות המאובטחות הבאות:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, או 4.4.30

חשוב גם לציין שהבעיה אינה בלעדית ל-MongoDB. הפגיעות משפיעה גם על חבילת rsync של אובונטו, עקב הסתמכותה על אותה ספריית דחיסה של zlib.

אסטרטגיות הפחתה בעת תיקון

עבור סביבות בהן תיקון מיידי אינו אפשרי, מספר אמצעי הקלה זמניים יכולים להפחית משמעותית את החשיפה:

• השבת דחיסת zlib על ידי הפעלת mongod או mongos עם האפשרות networkMessageCompressors או net.compression.compressors שתצורתה נקבעה כך שלא תכלול zlib.
• הגבלת חשיפת הרשת על ידי הגבלת גישה לשרתי MongoDB ומעקב צמוד אחר יומני רישום לאיתור ניסיונות חיבור חשודים לאימות מקדים

הערכה סופית

MongoBleed מהווה איום חמור בשל קלות הניצול שלו, היעדר דרישות אימות וחשיפה נרחבת. ארגונים המריצים את MongoDB צריכים להתייחס ל-CVE-2025-14847 כאל פריט תיקון בעל עדיפות גבוהה, להחיל תיקונים ללא דיחוי, ולהבטיח כי חשיפה מיותרת לרשת תבוטל במידת האפשר.