Вразливість CVE-2025-14847
Нещодавно виявлена вразливість MongoDB активно використовується в реальних атаках, наражаючи на небезпеку десятки тисяч екземплярів баз даних по всьому світу. Дослідники безпеки виявили понад 87 000 потенційно вразливих розгортань MongoDB, що робить цю проблему серйозною проблемою для організацій, які покладаються на MongoDB у виробничих середовищах.
Зміст
Розуміння CVE-2025-14847
Ця вразливість високого рівня, що відстежується як CVE-2025-14847 та має рейтинг 8,7 за шкалою CVSS, отримала кодову назву MongoBleed. Вона дозволяє неавтентифікованим віддаленим зловмисникам витікати конфіденційні дані безпосередньо з пам'яті сервера MongoDB, не вимагаючи дійсних облікових даних чи взаємодії з користувачем.
Цю вразливість можна використовувати до автентифікації, що значно підвищує її ризик, особливо для серверів MongoDB, підключених до Інтернету.
Першопричина: неправильне стиснення zlib
Вразливість виникає через недолік у логіці декомпресії повідомлень MongoDB Server на основі zlib, зокрема в компоненті message_compressor_zlib.cpp. MongoDB за замовчуванням увімкнено стиснення zlib, що означає, що багато розгортань постраждають, якщо їх явно не переналаштувати.
Надсилаючи неправильно стиснуті мережеві пакети, зловмисник може скористатися неправильною обробкою розпакованих даних. Замість повернення фактичного розміру розпакованого вмісту, уражена логіка повертає повний розмір виділеного буфера. Ця помилка може призвести до втрати доступу до неініціалізованої купи даних, що дозволить зловмисникам отримати фрагменти суміжних конфіденційних даних.
Що можуть вкрасти зловмисники
Успішне використання зловмисника може призвести до розкриття конфіденційної інформації, що зберігається в пам'яті сервера, включаючи записи користувачів, паролі та ключі API. Хоча зловмисникам може знадобитися надіслати великий обсяг запитів для відновлення значущих даних, а деякі витік фрагментів можуть бути нерелевантними, ризик зростає з часом. Чим довше зловмисник має доступ, тим більше даних потенційно може бути зібрано.
Аналітики хмарної безпеки підтверджують, що атака не вимагає автентифікації та взаємодії з користувачем, що робить сервери MongoDB, що підключені до Інтернету, особливо вразливими.
Охоплення та глобальний вплив
Аналіз показує, що уражені екземпляри MongoDB широко поширені по всьому світу, з високою концентрацією у Сполучених Штатах, Китаї, Німеччині, Індії та Франції. Дослідники також повідомляють, що 42% хмарних середовищ містять принаймні один екземпляр MongoDB, на якому запущено версію, вразливу до CVE-2025-14847, охоплюючи як загальнодоступні системи, так і внутрішню інфраструктуру.
Наразі точні методи, що використовуються в кампаніях активної експлуатації, залишаються неясними.
Патчі, програмне забезпечення, на яке поширюється проблема, та ширший вплив
MongoDB випустила виправлення для кількох підтримуваних гілок, а патчі вже застосовані до MongoDB Atlas. Організаціям слід негайно оновити систему до однієї з наступних безпечних версій:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 або 4.4.30
Також важливо зазначити, що проблема стосується не лише MongoDB. Вразливість також впливає на пакет Ubuntu rsync, оскільки він залежить від тієї ж бібліотеки стиснення zlib.
Стратегії пом'якшення наслідків під час встановлення патчів
Для середовищ, де негайне встановлення виправлень неможливе, кілька тимчасових заходів можуть значно зменшити вплив:
- Вимкніть стиснення zlib, запустивши mongod або mongos з параметром networkMessageCompressors або net.compressors, налаштованим на виключення zlib.
- Обмежте мережевий вплив, обмежуючи доступ до серверів MongoDB та ретельно відстежуючи журнали на наявність підозрілих спроб підключення до попередньої автентифікації.
Заключна оцінка
MongoBleed становить серйозну загрозу через легкість використання, відсутність вимог до автентифікації та широке поширення. Організації, що використовують MongoDB, повинні розглядати CVE-2025-14847 як пріоритетний засіб усунення шкідливої атаки, негайно застосовувати виправлення та забезпечувати усунення непотрібних мережевих ризиків, де це можливо.
