Vulnerabilità CVE-2025-14847
Una vulnerabilità di MongoDB recentemente scoperta viene sfruttata attivamente in attacchi reali, mettendo a rischio decine di migliaia di istanze di database in tutto il mondo. I ricercatori di sicurezza hanno identificato oltre 87.000 distribuzioni MongoDB potenzialmente vulnerabili, rendendo questo problema una preoccupazione significativa per le organizzazioni che si affidano a MongoDB negli ambienti di produzione.
Sommario
Comprensione di CVE-2025-14847
Identificata come CVE-2025-14847 e classificata con un livello di gravità di 8,7 sulla scala CVSS, questa vulnerabilità di elevata gravità è stata denominata MongoBleed. Consente ad aggressori remoti non autenticati di divulgare dati sensibili direttamente dalla memoria del server MongoDB, senza richiedere credenziali valide o l'interazione dell'utente.
La falla può essere sfruttata prima dell'autenticazione, il che ne aumenta notevolmente il profilo di rischio, soprattutto per i server MongoDB esposti a Internet.
Causa principale: compressione zlib non riuscita
La vulnerabilità ha origine da un difetto nella logica di decompressione dei messaggi basata su zlib di MongoDB Server, in particolare nel componente message_compressor_zlib.cpp. MongoDB abilita la compressione zlib per impostazione predefinita, il che significa che molte distribuzioni sono interessate, a meno che non vengano riconfigurate esplicitamente.
Inviando pacchetti di rete compressi non validi, un aggressore può sfruttare la gestione impropria delle lunghezze dei dati decompressi. Invece di restituire la dimensione effettiva del contenuto decompresso, la logica interessata restituisce l'intera dimensione del buffer allocato. Questo errore può esporre la memoria heap non inizializzata, consentendo agli aggressori di recuperare frammenti di dati sensibili adiacenti.
Cosa possono rubare gli aggressori
Uno sfruttamento riuscito può comportare l'esposizione di informazioni altamente sensibili archiviate nella memoria del server, inclusi record utente, password e chiavi API. Sebbene gli aggressori possano dover inviare un volume elevato di richieste per ricostruire dati significativi e alcuni frammenti trapelati possano essere irrilevanti, il rischio aumenta nel tempo. Più a lungo un aggressore mantiene l'accesso, più dati possono essere potenzialmente raccolti.
Gli analisti della sicurezza cloud confermano che l'attacco non richiede alcuna autenticazione né interazione da parte dell'utente, rendendo i server MongoDB connessi a Internet particolarmente vulnerabili.
Ambito ed esposizione globale
L'analisi mostra che le istanze MongoDB interessate sono ampiamente distribuite in tutto il mondo, con un'elevata concentrazione negli Stati Uniti, in Cina, Germania, India e Francia. I ricercatori segnalano inoltre che il 42% degli ambienti cloud contiene almeno un'istanza MongoDB che esegue una versione vulnerabile a CVE-2025-14847, sia nei sistemi esposti al pubblico che nell'infrastruttura interna.
Attualmente, le tecniche precise utilizzate nelle campagne di sfruttamento attivo restano poco chiare.
Patch, software interessato e impatto più ampio
MongoDB ha rilasciato correzioni per diverse branch supportate e le patch sono già state applicate a MongoDB Atlas. Le organizzazioni dovrebbero eseguire immediatamente l'aggiornamento a una delle seguenti versioni sicure:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30
È inoltre importante notare che il problema non riguarda esclusivamente MongoDB. La vulnerabilità interessa anche il pacchetto rsync di Ubuntu, poiché si basa sulla stessa libreria di compressione zlib.
Strategie di mitigazione durante l’applicazione delle patch
Per gli ambienti in cui non è possibile applicare patch immediate, diverse misure di mitigazione temporanee possono ridurre significativamente l'esposizione:
- Disabilitare la compressione zlib avviando mongod o mongos con l'opzione networkMessageCompressors o net.compression.compressors configurata per escludere zlib
- Limita l'esposizione della rete limitando l'accesso ai server MongoDB e monitorando attentamente i registri per individuare tentativi sospetti di connessione pre-autenticazione
Valutazione finale
MongoBleed rappresenta una seria minaccia a causa della sua facilità di sfruttamento, della mancanza di requisiti di autenticazione e della sua ampia esposizione. Le organizzazioni che utilizzano MongoDB dovrebbero considerare CVE-2025-14847 come un elemento di correzione ad alta priorità, applicare patch senza indugio e garantire che l'esposizione non necessaria alla rete venga eliminata ove possibile.
