CVE-2025-14847-sårbarhet
En nylig avslørt MongoDB-sårbarhet utnyttes aktivt i angrep i den virkelige verden, og setter titusenvis av databaseforekomster i fare over hele verden. Sikkerhetsforskere har identifisert mer enn 87 000 potensielt sårbare MongoDB-distribusjoner, noe som gjør dette problemet til en betydelig bekymring for organisasjoner som er avhengige av MongoDB i produksjonsmiljøer.
Innholdsfortegnelse
Forståelse av CVE-2025-14847
Denne alvorlighetssårbarheten, sporet som CVE-2025-14847 og vurdert til 8,7 på CVSS-skalaen, har fått kodenavnet MongoBleed. Den lar uautoriserte eksterne angripere lekke sensitive data direkte fra MongoDB-serverminnet, uten å kreve gyldig legitimasjon eller brukermedvirkning.
Feilen kan utnyttes før autentisering, noe som øker risikoprofilen dramatisk, spesielt for MongoDB-servere som er eksponert for internett.
Rotårsak: zlib-komprimering gikk galt
Sårbarheten stammer fra en feil i MongoDB Servers zlib-baserte meldingsdekomprimeringslogikk, nærmere bestemt i message_compressor_zlib.cpp-komponenten. MongoDB aktiverer zlib-komprimering som standard, noe som betyr at mange distribusjoner påvirkes med mindre de eksplisitt konfigureres på nytt.
Ved å sende feilformede komprimerte nettverkspakker kan en angriper utnytte feil håndtering av dekomprimerte datalengder. I stedet for å returnere den faktiske størrelsen på dekomprimert innhold, returnerer den berørte logikken den fulle tildelte bufferstørrelsen. Denne feilen kan eksponere uinitialisert heap-minne, slik at angripere kan hente fragmenter av tilstøtende sensitive data.
Hva angripere kan stjele
Vellykket utnyttelse kan føre til eksponering av svært sensitiv informasjon lagret i serverminnet, inkludert brukeroppføringer, passord og API-nøkler. Selv om angripere kan trenge å sende et stort volum forespørsler for å rekonstruere meningsfulle data, og noen lekkede fragmenter kan være irrelevante, eskalerer risikoen over tid. Jo lenger en angriper opprettholder tilgang, desto mer data kan potensielt høstes.
Sikkerhetsanalytikere i skyen bekrefter at angrepet ikke krever autentisering og brukerinteraksjon, noe som gjør internettvendte MongoDB-servere spesielt sårbare.
Omfang og global eksponering
Analyser viser at berørte MongoDB-forekomster er vidt distribuert over hele verden, med en høy konsentrasjon i USA, Kina, Tyskland, India og Frankrike. Forskere rapporterer også at 42 % av skymiljøene inneholder minst én MongoDB-forekomst som kjører en versjon som er sårbar for CVE-2025-14847, og omfatter både offentlig eksponerte systemer og intern infrastruktur.
For tiden er de nøyaktige teknikkene som brukes i aktive utnyttelseskampanjer fortsatt uklare.
Oppdateringer, berørt programvare og bredere innvirkning
MongoDB har gitt ut feilrettinger på tvers av flere støttede grener, og oppdateringer er allerede installert på MongoDB Atlas. Organisasjoner bør oppgradere umiddelbart til en av følgende sikre versjoner:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 eller 4.4.30
Det er også viktig å merke seg at problemet ikke er eksklusivt for MongoDB. Sårbarheten påvirker også Ubuntu rsync-pakken, fordi den er avhengig av det samme zlib-komprimeringsbiblioteket.
Strategier for begrensning under oppdatering
For miljøer der umiddelbar oppdatering ikke er mulig, kan flere midlertidige tiltak redusere eksponeringen betydelig:
- Deaktiver zlib-komprimering ved å starte mongod eller mongos med alternativet networkMessageCompressors eller net.compression.compressors konfigurert til å ekskludere zlib.
- Begrens nettverkseksponering ved å begrense tilgangen til MongoDB-servere og nøye overvåke logger for mistenkelige tilkoblingsforsøk før autentisering
Sluttvurdering
MongoBleed representerer en alvorlig trussel på grunn av enkel utnyttelse, mangel på autentiseringskrav og utbredt eksponering. Organisasjoner som kjører MongoDB bør behandle CVE-2025-14847 som et høyprioritert utbedringselement, installere oppdateringer uten forsinkelse og sørge for at unødvendig nettverkseksponering elimineres der det er mulig.
