Рањивост CVE-2025-14847
Новооткривена рањивост MongoDB-а се активно искоришћава у нападима из стварног света, доводећи десетине хиљада инстанци база података у опасност широм света. Истраживачи безбедности су идентификовали више од 87.000 потенцијално рањивих MongoDB имплементација, што овај проблем чини значајном забринутошћу за организације које се ослањају на MongoDB у производним окружењима.
Преглед садржаја
Разумевање CVE-2025-14847
Праћена као CVE-2025-14847 и оцењена са 8,7 на CVSS скали, ова рањивост високе озбиљности добила је кодни назив MongoBleed. Она омогућава неаутентификованим удаљеним нападачима да директно цуре осетљиве податке из меморије MongoDB сервера, без потребе за важећим акредитивима или интеракцијом корисника.
Грешка се може искористити пре аутентификације, што драматично повећава њен профил ризика, посебно за MongoDB сервере изложене интернету.
Основни узрок: ЗЛИБ компресија је пошла по злу
Рањивост потиче од грешке у логици декомпресије порука заснованој на zlib-у MongoDB сервера, тачније унутар компоненте message_compressor_zlib.cpp. MongoDB подразумевано омогућава zlib компресију, што значи да су многе имплементације погођене осим ако се експлицитно не реконфигуришу.
Слањем неправилно обликованих компресованих мрежних пакета, нападач може да искористи неправилно руковање декомпримованим дужинама података. Уместо враћања стварне величине декомпримованог садржаја, погођена логика враћа пуну додељену величину бафера. Ова грешка може открити неиницијализовану хип меморију, омогућавајући нападачима да преузму фрагменте суседних осетљивих података.
Шта нападачи могу да украду
Успешна експлоатација може довести до откривања веома осетљивих информација сачуваних у меморији сервера, укључујући корисничке записе, лозинке и API кључеве. Иако нападачима може бити потребно да пошаљу велики број захтева да би реконструисали значајне податке, а неки процурели фрагменти могу бити ирелевантни, ризик се временом повећава. Што дуже нападач одржава приступ, више података може потенцијално бити прикупљено.
Аналитичари безбедности у облаку потврђују да напад не захтева аутентификацију нити интеракцију корисника, што чини MongoDB сервере окренуте интернету посебно рањивим.
Обим и глобална изложеност
Анализа показује да су погођене инстанце MongoDB-а широко распрострањене широм света, са високом концентрацијом у Сједињеним Државама, Кини, Немачкој, Индији и Француској. Истраживачи такође извештавају да 42% облачних окружења садржи барем једну инстанцу MongoDB-а која покреће верзију рањиву на CVE-2025-14847, обухватајући и јавно изложене системе и интерну инфраструктуру.
Тренутно, прецизне технике које се користе у кампањама активне експлоатације остају нејасне.
Закрпе, погођени софтвер и шири утицај
MongoDB је објавио исправке у више подржаних грана, а закрпе су већ примењене на MongoDB Atlas. Организације би требало одмах да надограде на једну од следећих безбедних верзија:
МонгоДБ 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30
Такође је важно напоменути да проблем није искључив за MongoDB. Рањивост утиче и на Ubuntu rsync пакет, због његовог ослањања на исту zlib библиотеку за компресију.
Стратегије ублажавања током крпљења
За окружења где тренутно закрпљење није изводљиво, неколико привремених мера за ублажавање може значајно смањити изложеност:
- Онемогућите zlib компресију покретањем mongod или mongos са опцијом networkMessageCompressors или net.compression.compressors конфигурисаном да искључи zlib
- Ограничите изложеност мреже ограничавањем приступа MongoDB серверима и пажљивим праћењем логова за сумњиве покушаје повезивања пре аутентификације
Завршна процена
MongoBleed представља озбиљну претњу због лакоће експлоатације, недостатка захтева за аутентификацију и широко распрострањене изложености. Организације које користе MongoDB требало би да третирају CVE-2025-14847 као ставку високог приоритета за санацију, да без одлагања примене закрпе и да обезбеде да се елиминише непотребна изложеност мреже где год је то могуће.
