Уязвимость CVE-2025-14847
Недавно обнаруженная уязвимость в MongoDB активно используется в реальных атаках, подвергая риску десятки тысяч экземпляров баз данных по всему миру. Исследователи безопасности выявили более 87 000 потенциально уязвимых развертываний MongoDB, что делает эту проблему серьезной для организаций, использующих MongoDB в производственной среде.
Оглавление
Понимание уязвимости CVE-2025-14847
Эта уязвимость высокой степени серьезности, отслеживаемая как CVE-2025-14847 и имеющая рейтинг 8,7 по шкале CVSS, получила кодовое название MongoBleed. Она позволяет неавторизованным удаленным злоумышленникам получать доступ к конфиденциальным данным непосредственно из памяти сервера MongoDB, не требуя действительных учетных данных или взаимодействия с пользователем.
Уязвимость может быть использована до аутентификации, что значительно повышает риск, особенно для серверов MongoDB, подключенных к интернету.
Первопричина: Неправильное сжатие zlib.
Уязвимость возникает из-за недостатка в логике декомпрессии сообщений на основе zlib в MongoDB Server, а именно в компоненте message_compressor_zlib.cpp. MongoDB включает сжатие zlib по умолчанию, а это значит, что многие развертывания подвержены уязвимости, если это не будет явно перенастроено.
Отправляя некорректно сформированные сжатые сетевые пакеты, злоумышленник может использовать некорректную обработку длины декомпрессированных данных. Вместо возврата фактического размера декомпрессированного содержимого, соответствующая логика возвращает полный размер выделенного буфера. Эта ошибка может привести к утечке неинициализированной памяти кучи, что позволит злоумышленникам получить доступ к фрагментам смежных конфиденциальных данных.
Что могут украсть злоумышленники
Успешная эксплуатация уязвимости может привести к утечке крайне конфиденциальной информации, хранящейся в памяти сервера, включая записи пользователей, пароли и ключи API. Хотя злоумышленникам может потребоваться отправить большое количество запросов для восстановления значимых данных, и некоторые из утекших фрагментов могут оказаться нерелевантными, риск со временем возрастает. Чем дольше злоумышленник сохраняет доступ, тем больше данных он потенциально может получить.
Аналитики в области облачной безопасности подтверждают, что для атаки не требуется аутентификация и взаимодействие с пользователем, что делает серверы MongoDB, доступные из интернета, особенно уязвимыми.
Масштаб и глобальная известность
Анализ показывает, что затронутые экземпляры MongoDB широко распространены по всему миру, с высокой концентрацией в США, Китае, Германии, Индии и Франции. Исследователи также сообщают, что 42% облачных сред содержат как минимум один экземпляр MongoDB, работающий под управлением версии, уязвимой для CVE-2025-14847, как в общедоступных системах, так и во внутренней инфраструктуре.
В настоящее время точные методы, используемые в кампаниях по активной эксплуатации, остаются неясными.
Обновления, затронутое программное обеспечение и более широкое влияние
Компания MongoDB выпустила исправления для нескольких поддерживаемых веток, и патчи уже применены к MongoDB Atlas. Организациям следует немедленно обновиться до одной из следующих безопасных версий:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30
Важно также отметить, что эта проблема не ограничивается MongoDB. Уязвимость затрагивает и пакет rsync в Ubuntu, поскольку он использует ту же библиотеку сжатия zlib.
Стратегии смягчения последствий при установке исправлений
В средах, где немедленное обновление программного обеспечения невозможно, ряд временных мер может значительно снизить уровень риска:
- Отключите сжатие zlib, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors, настроенным на исключение zlib.
- Ограничьте уязвимость сети, ограничив доступ к серверам MongoDB и внимательно отслеживая журналы на предмет подозрительных попыток подключения до аутентификации.
Итоговая оценка
MongoBleed представляет собой серьезную угрозу из-за простоты эксплуатации, отсутствия требований к аутентификации и широкого распространения. Организациям, использующим MongoDB, следует рассматривать CVE-2025-14847 как приоритетную задачу по устранению уязвимости, незамедлительно применять исправления и по возможности исключать ненужные сетевые риски.
