Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Lỗ hổng bảo mật CVE-2025-14847

Lỗ hổng bảo mật CVE-2025-14847

Đến năm Mezo năm Sự dễ bị tổn thương
Dịch sang:

Một lỗ hổng bảo mật mới được phát hiện trong MongoDB đang bị khai thác tích cực trong các cuộc tấn công thực tế, đe dọa hàng chục nghìn phiên bản cơ sở dữ liệu trên toàn thế giới. Các nhà nghiên cứu bảo mật đã xác định được hơn 87.000 triển khai MongoDB có khả năng dễ bị tổn thương, khiến vấn đề này trở thành mối lo ngại đáng kể đối với các tổ chức dựa vào MongoDB trong môi trường sản xuất.

Tìm hiểu về lỗ hổng bảo mật CVE-2025-14847

Được theo dõi với mã CVE-2025-14847 và xếp hạng 8.7 trên thang điểm CVSS, lỗ hổng bảo mật nghiêm trọng này có tên mã là MongoBleed. Nó cho phép kẻ tấn công từ xa không cần xác thực có thể làm rò rỉ dữ liệu nhạy cảm trực tiếp từ bộ nhớ máy chủ MongoDB, mà không cần thông tin đăng nhập hợp lệ hoặc tương tác của người dùng.

Lỗ hổng này có thể bị khai thác trước khi xác thực, điều này làm tăng đáng kể mức độ rủi ro, đặc biệt đối với các máy chủ MongoDB được kết nối với internet.

Nguyên nhân gốc rễ: Quá trình nén zlib bị lỗi

Lỗ hổng này bắt nguồn từ một khiếm khuyết trong logic giải nén tin nhắn dựa trên zlib của MongoDB Server, cụ thể là trong thành phần message_compressor_zlib.cpp. MongoDB bật tính năng nén zlib theo mặc định, có nghĩa là nhiều hệ thống triển khai bị ảnh hưởng trừ khi được cấu hình lại một cách rõ ràng.

Bằng cách gửi các gói mạng nén bị lỗi, kẻ tấn công có thể khai thác việc xử lý không đúng cách độ dài dữ liệu đã giải nén. Thay vì trả về kích thước thực của nội dung đã giải nén, logic bị ảnh hưởng sẽ trả về kích thước bộ đệm được cấp phát đầy đủ. Sai lầm này có thể làm lộ bộ nhớ heap chưa được khởi tạo, cho phép kẻ tấn công truy xuất các đoạn dữ liệu nhạy cảm liền kề.

Những gì kẻ tấn công có thể đánh cắp

Việc khai thác thành công có thể dẫn đến việc lộ thông tin nhạy cảm được lưu trữ trong bộ nhớ máy chủ, bao gồm hồ sơ người dùng, mật khẩu và khóa API. Mặc dù kẻ tấn công có thể cần gửi một lượng lớn yêu cầu để khôi phục dữ liệu có ý nghĩa, và một số đoạn dữ liệu bị rò rỉ có thể không liên quan, nhưng rủi ro sẽ tăng lên theo thời gian. Kẻ tấn công càng duy trì quyền truy cập lâu, thì càng có thể thu thập được nhiều dữ liệu hơn.

Các chuyên gia phân tích an ninh đám mây xác nhận rằng cuộc tấn công này không yêu cầu xác thực và không cần sự tương tác của người dùng, khiến các máy chủ MongoDB kết nối trực tiếp với internet trở nên đặc biệt dễ bị tổn thương.

Phạm vi và tầm ảnh hưởng toàn cầu

Phân tích cho thấy các phiên bản MongoDB bị ảnh hưởng phân bố rộng rãi trên toàn cầu, tập trung nhiều ở Hoa Kỳ, Trung Quốc, Đức, Ấn Độ và Pháp. Các nhà nghiên cứu cũng báo cáo rằng 42% môi trường điện toán đám mây chứa ít nhất một phiên bản MongoDB đang chạy phiên bản dễ bị tổn thương bởi lỗ hổng CVE-2025-14847, trải rộng trên cả các hệ thống được công khai và cơ sở hạ tầng nội bộ.

Hiện tại, các kỹ thuật chính xác được sử dụng trong các chiến dịch khai thác chủ động vẫn chưa rõ ràng.

Các bản vá lỗi, phần mềm bị ảnh hưởng và tác động rộng hơn

MongoDB đã phát hành các bản vá lỗi trên nhiều nhánh được hỗ trợ và các bản vá đã được áp dụng cho MongoDB Atlas. Các tổ chức nên nâng cấp ngay lập tức lên một trong các phiên bản bảo mật sau:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 hoặc 4.4.30

Điều quan trọng cần lưu ý là vấn đề này không chỉ riêng với MongoDB. Lỗ hổng này cũng ảnh hưởng đến gói rsync của Ubuntu, do nó phụ thuộc vào cùng thư viện nén zlib.

Các chiến lược giảm thiểu rủi ro trong quá trình vá lỗi

Đối với những môi trường mà việc vá lỗi ngay lập tức không khả thi, một số biện pháp giảm thiểu tạm thời có thể làm giảm đáng kể nguy cơ bị ảnh hưởng:

  • Vô hiệu hóa tính năng nén zlib bằng cách khởi động mongod hoặc mongos với tùy chọn networkMessageCompressors hoặc net.compression.compressors được cấu hình để loại trừ zlib.
  • Hạn chế rủi ro mạng bằng cách giới hạn quyền truy cập vào máy chủ MongoDB và giám sát chặt chẽ nhật ký để phát hiện các nỗ lực kết nối xác thực trước đáng ngờ.

Đánh giá cuối kỳ

Lỗ hổng MongoBleed представляет mối đe dọa nghiêm trọng do dễ bị khai thác, thiếu yêu cầu xác thực và phạm vi lây lan rộng. Các tổ chức sử dụng MongoDB nên coi CVE-2025-14847 là vấn đề cần khắc phục ưu tiên cao, áp dụng các bản vá ngay lập tức và đảm bảo loại bỏ tối đa nguy cơ tiếp xúc mạng không cần thiết.

xu hướng

Cảnh báo quan trọng về email lừa đảo tài khoản...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu sự chú ý khẩn cấp là một vũ khí ưa thích của tội phạm mạng. Không thể nhấn mạnh đủ tầm quan trọng của việc luôn cảnh giác khi nhận được những tin nhắn không rõ nguồn gốc, đặc biệt là những tin nhắn cảnh báo về các vấn đề tài khoản hoặc tài liệu mới được công bố. Một mối đe dọa như vậy đang lan truyền trên mạng là trò lừa đảo qua email "Hóa đơn đang được công bố", một...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
29,775
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...