CVE-2025-14847 ievainojamība
Jaunatklāta MongoDB ievainojamība tiek aktīvi izmantota reālos uzbrukumos, apdraudot desmitiem tūkstošu datubāzu instanču visā pasaulē. Drošības pētnieki ir identificējuši vairāk nekā 87 000 potenciāli neaizsargātu MongoDB izvietojumu, padarot šo problēmu par nopietnu problēmu organizācijām, kas ražošanas vidē paļaujas uz MongoDB.
Satura rādītājs
Izpratne par CVE-2025-14847
Šī augstas nopietnības ievainojamība, kas izsekota kā CVE-2025-14847 un novērtēta ar 8,7 ballēm CVSS skalā, ir nosaukta par MongoBleed. Tā ļauj neautentificētiem attāliem uzbrucējiem nopludināt sensitīvus datus tieši no MongoDB servera atmiņas, neprasot derīgus akreditācijas datus vai lietotāja mijiedarbību.
Šo trūkumu var izmantot pirms autentifikācijas, kas ievērojami palielina tā riska profilu, īpaši MongoDB serveriem, kas ir pakļauti internetam.
Galvenais iemesls: zlib saspiešana notikusi nepareizi
Ievainojamība rodas MongoDB Server zlib bāzes ziņojumu dekompresijas loģikas kļūdas dēļ, īpaši message_compressor_zlib.cpp komponentā. MongoDB pēc noklusējuma iespējo zlib saspiešanu, kas nozīmē, ka daudzas izvietošanas tiek ietekmētas, ja vien tās netiek skaidri pārkonfigurētas.
Nosūtot nepareizi veidotas saspiestas tīkla paketes, uzbrucējs var izmantot nepareizu dekompresēto datu garuma apstrādi. Tā vietā, lai atgrieztu faktisko dekompresētā satura lielumu, skartā loģika atgriež pilnu piešķirto bufera lielumu. Šī kļūda var atklāt neinicializētu kaudzes atmiņu, ļaujot uzbrucējiem izgūt blakus esošo sensitīvo datu fragmentus.
Ko uzbrucēji var nozagt
Veiksmīga izmantošana var izraisīt servera atmiņā glabātas ļoti sensitīvas informācijas, tostarp lietotāju ierakstu, paroļu un API atslēgu, noplūšanu. Lai gan uzbrucējiem, iespējams, būs jānosūta liels skaits pieprasījumu, lai rekonstruētu jēgpilnus datus, un daži nopludinātie fragmenti var būt nebūtiski, risks laika gaitā pieaug. Jo ilgāk uzbrucējs saglabā piekļuvi, jo vairāk datu potenciāli var tikt ievākts.
Mākoņpakalpojumu drošības analītiķi apstiprina, ka uzbrukumam nav nepieciešama autentifikācija un lietotāja mijiedarbība, padarot internetam piekļūstamus MongoDB serverus īpaši neaizsargātus.
Darbības joma un globālā iedarbība
Analīze liecina, ka skartās MongoDB instances ir plaši izplatītas visā pasaulē, un to augsta koncentrācija ir Amerikas Savienotajās Valstīs, Ķīnā, Vācijā, Indijā un Francijā. Pētnieki arī ziņo, ka 42% mākoņvides satur vismaz vienu MongoDB instanci, kurā darbojas versija, kas ir neaizsargāta pret CVE-2025-14847, aptverot gan publiski pieejamas sistēmas, gan iekšējo infrastruktūru.
Pašlaik precīzas aktīvās ekspluatācijas kampaņās izmantotās metodes joprojām nav skaidras.
Ielāpi, skartā programmatūra un plašāka ietekme
MongoDB ir izlaidis labojumus vairākās atbalstītajās filiālēs, un ielāpi jau ir lietoti MongoDB Atlas. Organizācijām nekavējoties jāveic jaunināšana uz vienu no šīm drošajām versijām:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 vai 4.4.30
Svarīgi arī atzīmēt, ka šī problēma nav raksturīga tikai MongoDB. Ievainojamība ietekmē arī Ubuntu rsync pakotni, jo tā paļaujas uz to pašu zlib saspiešanas bibliotēku.
Mazināšanas stratēģijas ielāpu laikā
Vidēs, kur tūlītēja labošana nav iespējama, vairāki pagaidu pasākumi var ievērojami samazināt iedarbību:
- Atspējojiet zlib saspiešanu, startējot mongod vai mongos ar opciju networkMessageCompressors vai net.compression.compressors, kas konfigurēta tā, lai izslēgtu zlib.
- Ierobežojiet tīkla atkarību, ierobežojot piekļuvi MongoDB serveriem un rūpīgi uzraugot žurnālus, lai atklātu aizdomīgus pirmsautentifikācijas savienojuma mēģinājumus.
Galīgais novērtējums
MongoBleed rada nopietnu apdraudējumu tā vienkāršās izmantošanas, autentifikācijas prasību trūkuma un plašās apdraudējuma dēļ. Organizācijām, kas izmanto MongoDB, CVE-2025-14847 jāuzskata par augstas prioritātes korektīvo pasākumu, nekavējoties jālieto ielāpi un jānodrošina, ka, kur vien iespējams, tiek novērsta nevajadzīga tīkla apdraudējuma iespējamība.
