Kerentanan CVE-2025-14847
Kerentanan MongoDB yang baru didedahkan sedang dieksploitasi secara aktif dalam serangan dunia sebenar, menyebabkan puluhan ribu contoh pangkalan data berisiko di seluruh dunia. Penyelidik keselamatan telah mengenal pasti lebih daripada 87,000 penggunaan MongoDB yang berpotensi terdedah, menjadikan isu ini satu kebimbangan yang ketara bagi organisasi yang bergantung pada MongoDB dalam persekitaran pengeluaran.
Isi kandungan
Memahami CVE-2025-14847
Dijejaki sebagai CVE-2025-14847 dan diberi penarafan 8.7 pada skala CVSS, kerentanan tahap tinggi ini telah diberi nama kod MongoBleed. Ia membolehkan penyerang jauh yang tidak disahkan membocorkan data sensitif terus daripada memori pelayan MongoDB, tanpa memerlukan kelayakan atau interaksi pengguna yang sah.
Kecacatan ini boleh dieksploitasi sebelum pengesahan, yang meningkatkan profil risikonya secara mendadak, terutamanya untuk pelayan MongoDB yang terdedah kepada internet.
Punca Utama: Pemampatan zlib Tersalah
Kerentanan ini berasal daripada kecacatan dalam logik penyahmampatan mesej berasaskan zlib MongoDB Server, khususnya dalam komponen message_compressor_zlib.cpp. MongoDB mendayakan pemampatan zlib secara lalai, bermakna banyak penggunaan terjejas melainkan dikonfigurasikan semula secara eksplisit.
Dengan menghantar paket rangkaian termampat yang cacat, penyerang boleh mengeksploitasi pengendalian panjang data yang dinyahmampatkan secara tidak betul. Logik yang terjejas mengembalikan saiz penimbal penuh yang diperuntukkan dan bukannya mengembalikan saiz sebenar kandungan yang dinyahmampatkan. Kesilapan ini boleh mendedahkan memori timbunan yang tidak dimulakan, membolehkan penyerang mendapatkan semula serpihan data sensitif bersebelahan.
Apa yang Boleh Dicuri oleh Penyerang
Eksploitasi yang berjaya boleh mengakibatkan pendedahan maklumat yang sangat sensitif yang disimpan dalam memori pelayan, termasuk rekod pengguna, kata laluan dan kunci API. Walaupun penyerang mungkin perlu menghantar sejumlah besar permintaan untuk membina semula data yang bermakna, dan beberapa serpihan yang bocor mungkin tidak relevan, risikonya meningkat dari semasa ke semasa. Lebih lama penyerang mengekalkan akses, lebih banyak data berpotensi dituai.
Penganalisis keselamatan awan mengesahkan bahawa serangan itu tidak memerlukan pengesahan dan tiada interaksi pengguna, menjadikan pelayan MongoDB yang menghadap internet amat terdedah.
Skop dan Pendedahan Global
Analisis menunjukkan bahawa contoh MongoDB yang terjejas tersebar luas di seluruh dunia, dengan kepekatan yang tinggi di Amerika Syarikat, China, Jerman, India dan Perancis. Penyelidik juga melaporkan bahawa 42% persekitaran awan mengandungi sekurang-kurangnya satu contoh MongoDB yang menjalankan versi yang terdedah kepada CVE-2025-14847, merangkumi kedua-dua sistem yang terdedah kepada umum dan infrastruktur dalaman.
Pada masa ini, teknik tepat yang digunakan dalam kempen eksploitasi aktif masih tidak jelas.
Tampalan, Perisian yang Terjejas dan Impak yang Lebih Luas
MongoDB telah mengeluarkan pembetulan merentasi berbilang cabang yang disokong dan tampalan telah pun digunakan pada MongoDB Atlas. Organisasi harus menaik taraf dengan segera kepada salah satu versi selamat berikut:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, atau 4.4.30
Penting juga untuk diperhatikan bahawa isu ini bukan eksklusif untuk MongoDB. Kerentanan ini juga menjejaskan pakej rsync Ubuntu, disebabkan oleh pergantungannya pada pustaka pemampatan zlib yang sama.
Strategi Mitigasi Semasa Menampal
Bagi persekitaran di mana penampalan segera tidak boleh dilaksanakan, beberapa langkah mitigasi sementara boleh mengurangkan pendedahan dengan ketara:
- Lumpuhkan pemampatan zlib dengan memulakan mongod atau mongos dengan pilihan networkMessageCompressors atau net.compression.compressors yang dikonfigurasikan untuk mengecualikan zlib
- Hadkan pendedahan rangkaian dengan menyekat akses kepada pelayan MongoDB dan memantau log dengan teliti untuk percubaan sambungan pra-pengesahan yang mencurigakan
Penilaian Akhir
MongoBleed merupakan ancaman serius disebabkan oleh kemudahan eksploitasinya, kekurangan keperluan pengesahan dan pendedahan yang meluas. Organisasi yang menjalankan MongoDB harus menganggap CVE-2025-14847 sebagai item pemulihan keutamaan tinggi, menggunakan tampalan tanpa berlengah dan memastikan pendedahan rangkaian yang tidak perlu dihapuskan di mana sahaja yang mungkin.
