Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid Kwetsbaarheid CVE-2025-14847

Kwetsbaarheid CVE-2025-14847

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Een recent ontdekte kwetsbaarheid in MongoDB wordt actief misbruikt in daadwerkelijke aanvallen, waardoor tienduizenden database-instanties wereldwijd gevaar lopen. Beveiligingsonderzoekers hebben meer dan 87.000 potentieel kwetsbare MongoDB-implementaties geïdentificeerd, waardoor dit een serieuze zorg is voor organisaties die MongoDB in productieomgevingen gebruiken.

Inzicht in CVE-2025-14847

Deze ernstige kwetsbaarheid, geregistreerd onder CVE-2025-14847 en beoordeeld met een 8,7 op de CVSS-schaal, heeft de codenaam MongoBleed. De kwetsbaarheid stelt niet-geauthenticeerde externe aanvallers in staat om gevoelige gegevens rechtstreeks uit het geheugen van de MongoDB-server te lekken, zonder dat hiervoor geldige inloggegevens of gebruikersinteractie nodig zijn.

De kwetsbaarheid kan worden misbruikt vóór de authenticatie plaatsvindt, wat het risico aanzienlijk verhoogt, met name voor MongoDB-servers die toegankelijk zijn via internet.

Hoofdoorzaak: Zlib-compressie mislukt

De kwetsbaarheid is ontstaan door een fout in de op zlib gebaseerde berichtdecompressielogica van MongoDB Server, met name in het component message_compressor_zlib.cpp. MongoDB schakelt zlib-compressie standaard in, wat betekent dat veel implementaties hierdoor worden getroffen, tenzij dit expliciet opnieuw wordt geconfigureerd.

Door onjuist geformuleerde gecomprimeerde netwerkpakketten te verzenden, kan een aanvaller misbruik maken van de onjuiste verwerking van de lengte van gedecomprimeerde gegevens. In plaats van de werkelijke grootte van de gedecomprimeerde inhoud terug te geven, retourneert de betreffende logica de volledige toegewezen buffergrootte. Deze fout kan niet-geïnitialiseerd heapgeheugen blootleggen, waardoor aanvallers fragmenten van aangrenzende gevoelige gegevens kunnen achterhalen.

Wat aanvallers kunnen stelen

Succesvolle exploitatie kan leiden tot de blootstelling van zeer gevoelige informatie die in het servergeheugen is opgeslagen, waaronder gebruikersgegevens, wachtwoorden en API-sleutels. Hoewel aanvallers mogelijk een groot aantal verzoeken moeten versturen om relevante gegevens te reconstrueren, en sommige gelekte fragmenten irrelevant kunnen zijn, neemt het risico in de loop van de tijd toe. Hoe langer een aanvaller toegang heeft, hoe meer gegevens er potentieel kunnen worden buitgemaakt.

Cloudbeveiligingsanalisten bevestigen dat de aanval geen authenticatie en geen gebruikersinteractie vereist, waardoor MongoDB-servers die met internet verbonden zijn, bijzonder kwetsbaar zijn.

Omvang en wereldwijde blootstelling

Uit analyse blijkt dat de getroffen MongoDB-instanties wereldwijd verspreid zijn, met een hoge concentratie in de Verenigde Staten, China, Duitsland, India en Frankrijk. Onderzoekers melden tevens dat 42% van de cloudomgevingen minstens één MongoDB-instantie bevat die een versie draait die kwetsbaar is voor CVE-2025-14847, zowel op publiekelijk toegankelijke systemen als in interne infrastructuur.

De precieze technieken die bij actieve opsporingscampagnes worden gebruikt, zijn momenteel nog onduidelijk.

Patches, getroffen software en bredere impact

MongoDB heeft fixes uitgebracht voor meerdere ondersteunde branches, en patches zijn al toegepast op MongoDB Atlas. Organisaties wordt aangeraden om onmiddellijk te upgraden naar een van de volgende beveiligde versies:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 of 4.4.30

Het is ook belangrijk om te vermelden dat het probleem niet alleen MongoDB betreft. De kwetsbaarheid treft ook het Ubuntu rsync-pakket, vanwege de afhankelijkheid van dezelfde zlib-compressiebibliotheek.

Beperkende strategieën tijdens het patchen

In omgevingen waar onmiddellijke patching niet mogelijk is, kunnen verschillende tijdelijke maatregelen de blootstelling aanzienlijk verminderen:

  • Schakel zlib-compressie uit door mongod of mongos te starten met de optie networkMessageCompressors of net.compression.compressors geconfigureerd om zlib uit te sluiten.
  • Beperk de netwerkblootstelling door de toegang tot MongoDB-servers te beperken en de logbestanden nauwlettend te controleren op verdachte pogingen tot verbinding vóór authenticatie.

Eindbeoordeling

MongoBleed vormt een ernstige bedreiging vanwege de eenvoudige exploitatie, het ontbreken van authenticatievereisten en de wijdverspreide blootstelling. Organisaties die MongoDB gebruiken, moeten CVE-2025-14847 als een prioriteitsprobleem beschouwen, patches onmiddellijk toepassen en ervoor zorgen dat onnodige netwerkblootstelling waar mogelijk wordt geëlimineerd.

Trending

Meest bekeken

Bezig met laden...