Zraniteľnosť CVE-2025-14847
Novoodhalená zraniteľnosť MongoDB sa aktívne zneužíva pri útokoch v reálnom svete, čím ohrozuje desaťtisíce inštancií databáz na celom svete. Bezpečnostní výskumníci identifikovali viac ako 87 000 potenciálne zraniteľných nasadení MongoDB, čo z tohto problému robí významný problém pre organizácie, ktoré sa spoliehajú na MongoDB v produkčných prostrediach.
Obsah
Pochopenie CVE-2025-14847
Táto zraniteľnosť s vysokou závažnosťou, sledovaná ako CVE-2025-14847 a ohodnotená na stupnici CVSS na 8,7, dostala kódové označenie MongoBleed. Umožňuje neovereným vzdialeným útočníkom uniknúť citlivé údaje priamo z pamäte servera MongoDB bez nutnosti platných prihlasovacích údajov alebo interakcie s používateľom.
Chyba je zneužiteľná pred autentifikáciou, čo dramaticky zvyšuje jej rizikový profil, najmä pre servery MongoDB vystavené internetu.
Hlavná príčina: Zlyhala kompresia zlib
Zraniteľnosť pochádza z chyby v logike dekompresie správ založenej na zlib v MongoDB Serveri, konkrétne v komponente message_compressor_zlib.cpp. MongoDB štandardne povoľuje kompresiu zlib, čo znamená, že mnohé nasadenia sú ovplyvnené, pokiaľ nie sú explicitne prekonfigurované.
Odosielaním chybne formátovaných komprimovaných sieťových paketov môže útočník zneužiť nesprávne spracovanie dekomprimovaných dĺžok dát. Namiesto vrátenia skutočnej veľkosti dekomprimovaného obsahu poškodená logika vráti plnú pridelenú veľkosť vyrovnávacej pamäte. Táto chyba môže odhaliť neinicializovanú pamäť haldy, čo útočníkom umožní získať fragmenty susediacich citlivých dát.
Čo môžu útočníci ukradnúť
Úspešné zneužitie môže viesť k odhaleniu vysoko citlivých informácií uložených v pamäti servera vrátane používateľských záznamov, hesiel a kľúčov API. Hoci útočníci môžu potrebovať odoslať veľké množstvo požiadaviek na rekonštrukciu zmysluplných údajov a niektoré uniknuté fragmenty môžu byť irelevantné, riziko sa časom zvyšuje. Čím dlhšie má útočník prístup, tým viac údajov môže potenciálne získať.
Analytici cloudovej bezpečnosti potvrdzujú, že útok nevyžaduje žiadne overenie ani interakciu s používateľom, čo robí servery MongoDB pripojené k internetu obzvlášť zraniteľnými.
Rozsah a globálna expozícia
Analýza ukazuje, že postihnuté inštancie MongoDB sú široko rozšírené po celom svete, s vysokou koncentráciou v Spojených štátoch, Číne, Nemecku, Indii a Francúzsku. Výskumníci tiež uvádzajú, že 42 % cloudových prostredí obsahuje aspoň jednu inštanciu MongoDB s verziou zraniteľnou voči CVE-2025-14847, a to ako na verejne vystavených systémoch, tak aj na internej infraštruktúre.
V súčasnosti nie sú presné techniky používané v kampaniach aktívneho využívania jasné.
Záplaty, ovplyvnený softvér a širší dopad
Spoločnosť MongoDB vydala opravy vo viacerých podporovaných vetvách a záplaty už boli použité aj pre systém MongoDB Atlas. Organizácie by mali okamžite prejsť na jednu z nasledujúcich zabezpečených verzií:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 alebo 4.4.30
Je tiež dôležité poznamenať, že problém sa netýka len MongoDB. Zraniteľnosť postihuje aj balík Ubuntu rsync, pretože sa spolieha na rovnakú kompresnú knižnicu zlib.
Stratégie zmierňovania počas opravy
V prostrediach, kde nie je možné okamžite nainštalovať záplaty, môže niekoľko dočasných opatrení výrazne znížiť expozíciu:
- Zakážte kompresiu zlib spustením mongod alebo mongos s možnosťou networkMessageCompressors alebo net.compressors nakonfigurovanou na vylúčenie zlib
- Obmedzte expozíciu siete obmedzením prístupu k serverom MongoDB a dôkladným monitorovaním protokolov, či neobsahujú podozrivé pokusy o pripojenie pred overením totožnosti.
Záverečné hodnotenie
MongoBleed predstavuje vážnu hrozbu kvôli ľahkému zneužitiu, absencii požiadaviek na autentifikáciu a rozsiahlemu vystaveniu sa riziku. Organizácie prevádzkujúce MongoDB by mali považovať chybu CVE-2025-14847 za prioritnú nápravnú položku, bezodkladne nainštalovať záplaty a zabezpečiť, aby sa všade, kde je to možné, eliminovalo zbytočné vystavenie sa riziku v sieti.
