Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Vulnerabilidade CVE-2025-14847

Vulnerabilidade CVE-2025-14847

Por Mezo em Vulnerabilidade
Traduzir Para:

Uma vulnerabilidade recém-descoberta no MongoDB está sendo explorada ativamente em ataques reais, colocando dezenas de milhares de instâncias de banco de dados em risco em todo o mundo. Pesquisadores de segurança identificaram mais de 87.000 instalações do MongoDB potencialmente vulneráveis, tornando esse problema uma preocupação significativa para organizações que dependem do MongoDB em ambientes de produção.

Entendendo a CVE-2025-14847

Identificada como CVE-2025-14847 e classificada com 8,7 na escala CVSS, esta vulnerabilidade de alta gravidade recebeu o codinome MongoBleed. Ela permite que atacantes remotos não autenticados vazem dados confidenciais diretamente da memória do servidor MongoDB, sem a necessidade de credenciais válidas ou interação do usuário.

A falha pode ser explorada antes da autenticação, o que aumenta drasticamente seu perfil de risco, especialmente para servidores MongoDB expostos à internet.

Causa raiz: Compressão zlib com problemas

A vulnerabilidade tem origem em uma falha na lógica de descompressão de mensagens baseada em zlib do MongoDB Server, especificamente no componente message_compressor_zlib.cpp. O MongoDB habilita a compressão zlib por padrão, o que significa que muitas instalações são afetadas, a menos que sejam explicitamente reconfiguradas.

Ao enviar pacotes de rede comprimidos malformados, um atacante pode explorar o tratamento inadequado dos tamanhos dos dados descomprimidos. Em vez de retornar o tamanho real do conteúdo descomprimido, a lógica afetada retorna o tamanho total do buffer alocado. Esse erro pode expor memória heap não inicializada, permitindo que os atacantes recuperem fragmentos de dados sensíveis adjacentes.

O que os atacantes podem roubar

A exploração bem-sucedida pode resultar na exposição de informações altamente sensíveis armazenadas na memória do servidor, incluindo registros de usuários, senhas e chaves de API. Embora os atacantes possam precisar enviar um grande volume de solicitações para reconstruir dados significativos, e alguns fragmentos vazados possam ser irrelevantes, o risco aumenta com o tempo. Quanto mais tempo um atacante mantiver o acesso, mais dados poderão ser coletados.

Analistas de segurança em nuvem confirmam que o ataque não requer autenticação nem interação do usuário, tornando os servidores MongoDB expostos à internet especialmente vulneráveis.

Âmbito e exposição global

A análise mostra que as instâncias do MongoDB afetadas estão amplamente distribuídas pelo mundo, com alta concentração nos Estados Unidos, China, Alemanha, Índia e França. Os pesquisadores também relatam que 42% dos ambientes de nuvem contêm pelo menos uma instância do MongoDB executando uma versão vulnerável ao CVE-2025-14847, abrangendo tanto sistemas expostos publicamente quanto infraestrutura interna.

Atualmente, as técnicas precisas utilizadas em campanhas de exploração ativa permanecem obscuras.

Correções, software afetado e impacto mais amplo

A MongoDB lançou correções em várias versões suportadas, e os patches já foram aplicados ao MongoDB Atlas. As organizações devem atualizar imediatamente para uma das seguintes versões seguras:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30

É importante ressaltar também que o problema não é exclusivo do MongoDB. A vulnerabilidade afeta também o pacote rsync do Ubuntu, devido à sua dependência da mesma biblioteca de compressão zlib.

Estratégias de mitigação durante a aplicação de patches

Para ambientes onde a aplicação de patches imediatos não é viável, diversas medidas temporárias podem reduzir significativamente a exposição:

  • Desative a compressão zlib iniciando o mongod ou o mongos com a opção networkMessageCompressors ou net.compression.compressors configurada para excluir o zlib.
  • Limite a exposição da rede restringindo o acesso aos servidores MongoDB e monitorando atentamente os registros em busca de tentativas suspeitas de conexão pré-autenticação.

Avaliação final

O MongoBleed representa uma séria ameaça devido à sua facilidade de exploração, à ausência de requisitos de autenticação e à ampla exposição. Organizações que utilizam o MongoDB devem tratar a vulnerabilidade CVE-2025-14847 como um item de correção de alta prioridade, aplicar patches sem demora e garantir que a exposição desnecessária da rede seja eliminada sempre que possível.

Tendendo

Mais visto

Carregando...