CVE-2025-14847 Sårbarhet
En nyligen avslöjad MongoDB-sårbarhet utnyttjas aktivt i verkliga attacker, vilket utsätter tiotusentals databasinstanser världen över för fara. Säkerhetsforskare har identifierat fler än 87 000 potentiellt sårbara MongoDB-distributioner, vilket gör denna fråga till ett betydande problem för organisationer som förlitar sig på MongoDB i produktionsmiljöer.
Innehållsförteckning
Förstå CVE-2025-14847
Denna allvarliga sårbarhet, spårad som CVE-2025-14847 och betygsatt 8,7 på CVSS-skalan, har kodnamnet MongoBleed. Den gör det möjligt för oautentiserade angripare att läcka känslig data direkt från MongoDB-serverns minne, utan att kräva giltiga inloggningsuppgifter eller användarinteraktion.
Bristen kan utnyttjas före autentisering, vilket dramatiskt ökar riskprofilen, särskilt för MongoDB-servrar som är exponerade för internet.
Grundorsak: zlib-komprimering gick fel
Sårbarheten härrör från en brist i MongoDB Servers zlib-baserade meddelandedekomprimeringslogik, specifikt inom komponenten message_compressor_zlib.cpp. MongoDB aktiverar zlib-komprimering som standard, vilket innebär att många distributioner påverkas om de inte uttryckligen konfigureras om.
Genom att skicka felaktigt formaterade komprimerade nätverkspaket kan en angripare utnyttja felaktig hantering av dekomprimerade datalängder. Istället för att returnera den faktiska storleken på det dekomprimerade innehållet returnerar den berörda logiken den fullständiga allokerade buffertstorleken. Detta misstag kan exponera oinitialiserat heap-minne, vilket gör att angripare kan hämta fragment av intilliggande känsliga data.
Vad angripare kan stjäla
Lyckad exploatering kan resultera i att mycket känslig information som lagras i serverminnet exponeras, inklusive användarposter, lösenord och API-nycklar. Även om angripare kan behöva skicka en stor mängd förfrågningar för att rekonstruera meningsfull data, och vissa läckta fragment kan vara irrelevanta, eskalerar risken med tiden. Ju längre en angripare har åtkomst, desto mer data kan potentiellt samlas in.
Molnsäkerhetsanalytiker bekräftar att attacken inte kräver någon autentisering och ingen användarinteraktion, vilket gör internetvända MongoDB-servrar särskilt sårbara.
Omfattning och global exponering
Analys visar att berörda MongoDB-instanser är vitt spridda över hela världen, med en hög koncentration i USA, Kina, Tyskland, Indien och Frankrike. Forskare rapporterar också att 42 % av molnmiljöerna innehåller minst en MongoDB-instans som kör en version som är sårbar för CVE-2025-14847, både i offentligt exponerade system och intern infrastruktur.
För närvarande är de exakta teknikerna som används i aktiva utnyttjandekampanjer oklara.
Patchar, berörd programvara och bredare påverkan
MongoDB har släppt korrigeringar för flera stödda grenar, och patchar har redan installerats på MongoDB Atlas. Organisationer bör omedelbart uppgradera till en av följande säkra versioner:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 eller 4.4.30
Det är också viktigt att notera att problemet inte är exklusivt för MongoDB. Sårbarheten påverkar även Ubuntu rsync-paketet, eftersom det är beroende av samma zlib-komprimeringsbibliotek.
Strategier för att minska riskerna vid patchning
För miljöer där omedelbar patchning inte är möjlig kan flera tillfälliga åtgärder minska exponeringen avsevärt:
- Inaktivera zlib-komprimering genom att starta mongod eller mongos med alternativet networkMessageCompressors eller net.compression.compressors konfigurerat för att exkludera zlib.
- Begränsa nätverksexponeringen genom att begränsa åtkomst till MongoDB-servrar och noggrant övervaka loggar för misstänkta anslutningsförsök före förautentisering.
Slutbedömning
MongoBleed utgör ett allvarligt hot på grund av dess enkla utnyttjande, brist på autentiseringskrav och utbredda exponering. Organisationer som kör MongoDB bör behandla CVE-2025-14847 som en högprioriterad åtgärd, implementera patchar utan dröjsmål och säkerställa att onödig nätverksexponering elimineras där det är möjligt.
