CVE-2025-14847 pažeidžiamumas
Naujai atskleista „MongoDB“ pažeidžiamumas yra aktyviai išnaudojamas realiose atakose, keliančiose pavojų dešimtims tūkstančių duomenų bazių egzempliorių visame pasaulyje. Saugumo tyrėjai nustatė daugiau nei 87 000 potencialiai pažeidžiamų „MongoDB“ diegimų, todėl ši problema kelia didelį susirūpinimą organizacijoms, kurios gamybinėje aplinkoje naudoja „MongoDB“.
Turinys
CVE-2025-14847 supratimas
Ši itin pavojinga pažeidžiamumas, identifikuotas kaip CVE-2025-14847 ir įvertintas 8,7 balo CVSS skalėje, buvo pavadintas „MongoBleed“. Ji leidžia neautentifikuotiems nuotoliniams užpuolikams nutekinti jautrius duomenis tiesiai iš „MongoDB“ serverio atminties, nereikalaujant galiojančių prisijungimo duomenų ar vartotojo įsikišimo.
Šia spraga galima pasinaudoti prieš autentifikavimą, o tai smarkiai padidina jos rizikos profilį, ypač „MongoDB“ serveriams, kurie yra prijungti prie interneto.
Pagrindinė priežastis: netinkamai atlikta zlib glaudinimo operacija
Pažeidžiamumas kyla dėl „MongoDB Server“ zlib pagrindu sukurtos pranešimų dekompresijos logikos trūkumo, konkrečiai – komponente „message_compressor_zlib.cpp“. „MongoDB“ pagal numatytuosius nustatymus įgalina zlib glaudinimą, o tai reiškia, kad daugelis diegimų yra paveikti, nebent jie būtų aiškiai perkonfigūruoti.
Siųsdamas netinkamai suformuotus suspaustus tinklo paketus, užpuolikas gali pasinaudoti netinkamu išskleistų duomenų ilgių apdorojimu. Užuot grąžinęs tikrąjį išskleisto turinio dydį, paveikta logika grąžina visą paskirstytą buferio dydį. Ši klaida gali atskleisti neinicializuotą kaupo atmintį, leisdama užpuolikams gauti gretimų jautrių duomenų fragmentus.
Ką užpuolikai gali pavogti
Sėkmingai išnaudojus šią spragą, gali būti atskleista labai jautri serverio atmintyje saugoma informacija, įskaitant vartotojų įrašus, slaptažodžius ir API raktus. Nors užpuolikams gali tekti siųsti didelį kiekį užklausų, kad būtų atkurti reikšmingi duomenys, o kai kurie nutekinti fragmentai gali būti nesvarbūs, laikui bėgant rizika didėja. Kuo ilgiau užpuolikas turi prieigą, tuo daugiau duomenų gali būti surinkta.
Debesų saugumo analitikai patvirtina, kad atakai nereikia autentifikavimo ir vartotojo sąveikos, todėl prie interneto prijungti „MongoDB“ serveriai yra ypač pažeidžiami.
Apimtis ir pasaulinė rizika
Analizė rodo, kad paveikti „MongoDB“ egzemplioriai yra plačiai paplitę visame pasaulyje, o didelė jų koncentracija yra Jungtinėse Amerikos Valstijose, Kinijoje, Vokietijoje, Indijoje ir Prancūzijoje. Tyrėjai taip pat praneša, kad 42 % debesijos aplinkų turi bent vieną „MongoDB“ egzempliorių, kuriame veikia CVE-2025-14847 pažeidžiama versija, apimančią tiek viešai prieinamas sistemas, tiek vidinę infrastruktūrą.
Šiuo metu tikslūs aktyvaus išnaudojimo kampanijų metodai lieka neaiškūs.
Pataisymai, paveikta programinė įranga ir platesnis poveikis
„MongoDB“ išleido pataisymus keliose palaikomose šakose, o pataisymai jau buvo pritaikyti „MongoDB Atlas“. Organizacijos turėtų nedelsdamos atnaujinti į vieną iš šių saugių versijų:
„MongoDB“ 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 arba 4.4.30 versijos
Taip pat svarbu atkreipti dėmesį, kad ši problema būdinga ne tik „MongoDB“. Pažeidžiamumas paveikia ir „Ubuntu rsync“ paketą, nes jis naudoja tą pačią „zlib“ glaudinimo biblioteką.
Švelninimo strategijos diegiant pataisymus
Aplinkose, kuriose nedelsiant pataisyti neįmanoma, keletas laikinų priemonių gali žymiai sumažinti poveikį:
- Išjunkite zlib glaudinimą paleisdami mongod arba mongos su networkMessageCompressors arba net.compression.compressors parinktimi, sukonfigūruota taip, kad būtų neįtraukta zlib.
- Apribokite tinklo pažeidžiamumą apribodami prieigą prie „MongoDB“ serverių ir atidžiai stebėdami žurnalus, ar nėra įtartinų bandymų prisijungti iš anksto autentifikuojant.
Galutinis vertinimas
„MongoBleed“ kelia rimtą grėsmę dėl lengvo išnaudojimo, autentifikavimo reikalavimų trūkumo ir plataus atakos pavojaus. Organizacijos, naudojančios „MongoDB“, turėtų CVE-2025-14847 laikyti prioritetiniu taisomuoju elementu, nedelsdamos diegti pataisas ir užtikrinti, kad, kai tik įmanoma, būtų pašalintas nereikalingas tinklo atakos pavojus.
