ช่องโหว่ CVE-2025-14847

ช่องโหว่ของ MongoDB ที่เพิ่งถูกเปิดเผยกำลังถูกนำไปใช้โจมตีในโลกแห่งความเป็นจริง ส่งผลให้ฐานข้อมูลหลายหมื่นแห่งทั่วโลกตกอยู่ในความเสี่ยง นักวิจัยด้านความปลอดภัยได้ระบุการใช้งาน MongoDB ที่อาจมีความเสี่ยงมากกว่า 87,000 รายการ ทำให้ปัญหานี้เป็นเรื่องที่น่ากังวลอย่างมากสำหรับองค์กรที่พึ่งพา MongoDB ในสภาพแวดล้อมการผลิต

ทำความเข้าใจเกี่ยวกับ CVE-2025-14847

ช่องโหว่ร้ายแรงนี้ได้รับการระบุหมายเลข CVE-2025-14847 และมีระดับความรุนแรง 8.7 บนมาตราส่วน CVSS โดยมีชื่อรหัสว่า MongoBleed ช่องโหว่นี้ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับอนุญาตสามารถดึงข้อมูลสำคัญจากหน่วยความจำของเซิร์ฟเวอร์ MongoDB ได้โดยตรง โดยไม่จำเป็นต้องมีข้อมูลประจำตัวที่ถูกต้องหรือการโต้ตอบจากผู้ใช้

ช่องโหว่นี้สามารถใช้ประโยชน์ได้ก่อนการตรวจสอบสิทธิ์ ซึ่งจะเพิ่มความเสี่ยงอย่างมาก โดยเฉพาะอย่างยิ่งสำหรับเซิร์ฟเวอร์ MongoDB ที่เชื่อมต่อกับอินเทอร์เน็ต

สาเหตุหลัก: การบีบอัดข้อมูลด้วย zlib ผิดพลาด

ช่องโหว่นี้เกิดจากข้อบกพร่องในตรรกะการบีบอัดข้อความแบบ zlib ของ MongoDB Server โดยเฉพาะอย่างยิ่งในส่วนประกอบ message_compressor_zlib.cpp MongoDB เปิดใช้งานการบีบอัดแบบ zlib เป็นค่าเริ่มต้น ซึ่งหมายความว่าการใช้งานจำนวนมากจะได้รับผลกระทบ เว้นแต่จะมีการกำหนดค่าใหม่โดยชัดเจน

ด้วยการส่งแพ็กเก็ตเครือข่ายที่บีบอัดผิดรูปแบบ ผู้โจมตีสามารถใช้ประโยชน์จากการจัดการความยาวข้อมูลที่คลายการบีบอัดอย่างไม่ถูกต้อง แทนที่จะส่งคืนขนาดจริงของเนื้อหาที่คลายการบีบอัด ตรรกะที่ได้รับผลกระทบจะส่งคืนขนาดบัฟเฟอร์ที่จัดสรรไว้ทั้งหมด ข้อผิดพลาดนี้อาจทำให้หน่วยความจำฮีปที่ยังไม่ได้เริ่มต้นใช้งานถูกเปิดเผย ทำให้ผู้โจมตีสามารถดึงข้อมูลส่วนย่อยของข้อมูลสำคัญที่อยู่ติดกันได้

สิ่งที่ผู้โจมตีสามารถขโมยได้

การโจมตีที่ประสบความสำเร็จอาจส่งผลให้ข้อมูลสำคัญที่จัดเก็บอยู่ในหน่วยความจำของเซิร์ฟเวอร์รั่วไหลออกมา ซึ่งรวมถึงประวัติผู้ใช้ รหัสผ่าน และคีย์ API แม้ว่าผู้โจมตีอาจต้องส่งคำขอจำนวนมากเพื่อสร้างข้อมูลที่มีความหมายขึ้นมาใหม่ และข้อมูลที่รั่วไหลบางส่วนอาจไม่เกี่ยวข้อง แต่ความเสี่ยงจะเพิ่มสูงขึ้นตามเวลา ยิ่งผู้โจมตีเข้าถึงระบบได้นานเท่าใด ก็ยิ่งมีโอกาสที่จะเก็บเกี่ยวข้อมูลได้มากขึ้นเท่านั้น

นักวิเคราะห์ด้านความปลอดภัยบนคลาวด์ยืนยันว่า การโจมตีนี้ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์หรือการโต้ตอบจากผู้ใช้ ทำให้เซิร์ฟเวอร์ MongoDB ที่เชื่อมต่อกับอินเทอร์เน็ตมีความเสี่ยงเป็นพิเศษ

ขอบเขตและการเปิดรับในระดับโลก

จากการวิเคราะห์พบว่า อินสแตนซ์ MongoDB ที่ได้รับผลกระทบกระจายอยู่ทั่วโลก โดยมีจำนวนมากในสหรัฐอเมริกา จีน เยอรมนี อินเดีย และฝรั่งเศส นักวิจัยยังรายงานอีกว่า 42% ของสภาพแวดล้อมคลาวด์มีอินสแตนซ์ MongoDB อย่างน้อยหนึ่งรายการที่ใช้งานเวอร์ชันที่มีช่องโหว่ CVE-2025-14847 ซึ่งครอบคลุมทั้งระบบที่เปิดเผยต่อสาธารณะและโครงสร้างพื้นฐานภายใน

ในปัจจุบัน เทคนิคที่ใช้จริงในปฏิบัติการแสวงหาผลประโยชน์ยังคงไม่เป็นที่แน่ชัด

แพทช์ ซอฟต์แวร์ที่ได้รับผลกระทบ และผลกระทบในวงกว้าง

MongoDB ได้ออกแพทช์แก้ไขในหลายสาขาที่รองรับ และได้ทำการแก้ไขข้อบกพร่องใน MongoDB Atlas แล้ว องค์กรต่างๆ ควรทำการอัปเกรดเป็นเวอร์ชันที่ปลอดภัยอย่างใดอย่างหนึ่งต่อไปนี้โดยทันที:

MongoDB เวอร์ชัน 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 หรือ 4.4.30

สิ่งสำคัญที่ควรทราบคือ ปัญหานี้ไม่ได้จำกัดเฉพาะ MongoDB เท่านั้น ช่องโหว่นี้ยังส่งผลกระทบต่อแพ็กเกจ rsync ของ Ubuntu ด้วย เนื่องจากแพ็กเกจดังกล่าวใช้ไลบรารีการบีบอัดข้อมูล zlib เดียวกัน

กลยุทธ์การลดผลกระทบระหว่างการอัปเดตแพทช์

สำหรับสภาพแวดล้อมที่ไม่สามารถแก้ไขปัญหาได้ทันที มาตรการบรรเทาผลกระทบชั่วคราวหลายอย่างสามารถช่วยลดความเสี่ยงได้อย่างมาก:

• ปิดใช้งานการบีบอัด zlib โดยเริ่ม mongod หรือ mongos ด้วยตัวเลือก networkMessageCompressors หรือ net.compression.compressors ที่กำหนดค่าให้ไม่รวม zlib
• จำกัดการเปิดเผยข้อมูลเครือข่ายโดยการจำกัดการเข้าถึงเซิร์ฟเวอร์ MongoDB และตรวจสอบบันทึกอย่างใกล้ชิดเพื่อตรวจจับความพยายามในการเชื่อมต่อก่อนการตรวจสอบสิทธิ์ที่น่าสงสัย

การประเมินขั้นสุดท้าย

MongoBleed เป็นภัยคุกคามร้ายแรงเนื่องจากสามารถโจมตีได้ง่าย ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ และมีการแพร่กระจายอย่างกว้างขวาง องค์กรที่ใช้งาน MongoDB ควรให้ความสำคัญกับการแก้ไข CVE-2025-14847 เป็นลำดับต้นๆ ติดตั้งแพทช์โดยไม่ชักช้า และตรวจสอบให้แน่ใจว่าได้กำจัดความเสี่ยงที่ไม่จำเป็นต่อเครือข่ายออกไปให้มากที่สุดเท่าที่จะเป็นไปได้