Zagrożenie bezpieczeństwa w MongoDB: Wykryto podatność CVE-2025-14847

Ostatnio ujawniona podatność bezpieczeństwa w MongoDB stała się obiektem aktywnych ataków, zidentyfikowano ponad 87 000 potencjalnie narażonych instancji na całym świecie.

Wspomniana podatność to CVE-2025-14847 (wynik CVSS: 8.7), która umożliwia nieautoryzowanemu napastnikowi zdalne wyciek danych wrażliwych z pamięci serwera MongoDB. Błąd ten określany jest jako MongoBleed.

„Wada w kompresji zlib pozwala napastnikom na wywołanie wycieku informacji,” powiedziała firma OX Security. „Poprzez wysyłanie błędnie skonstruowanych pakietów sieciowych, atakujący może wydobywać fragmenty prywatnych danych.”

Problem ma swoje źródło w implementacji dekompresji wiadomości zlib w serwerze MongoDB (plik: message_compressor_zlib.cpp). Dotyczy to instancji, w których włączona jest kompresja zlib, co jest ustawieniem domyślnym. Udana eksploatacja tej luki pozwala atakującym na pozyskanie wrażliwych informacji, takich jak dane użytkowników, hasła czy klucze API.

„Choć napastnik może potrzebować wysłać dużą liczbę zapytań, aby zebrać pełną bazę danych, a niektóre dane mogą nie mieć sensu, im więcej czasu ma, tym więcej informacji może uzyskać,” dodała OX Security.

Firma zajmująca się bezpieczeństwem w chmurze, Wiz, wskazała, że CVE-2025-14847 wynika z wady w logice dekompresji wiadomości sieciowych opartej na zlib, co umożliwia nieautoryzowanym atakującym wysyłanie błędnie skonstruowanych, skompresowanych pakietów sieciowych w celu aktywacji luki i dostępu do niezainicjowanej pamięci stosu bez ważnych poświadczeń czy interakcji użytkownika.

„Wrażliwa logika zwracała rozmiar przydzielonego bufora (output.length()) zamiast rzeczywistej długości zdekompresowanych danych, co pozwalało na ujawnienie przylegającej pamięci stosu przez zbyt małe lub błędnie skonstruowane ładunki,” powiedzieli badacze bezpieczeństwa Merav Bar i Amitai Cohen. „Ponieważ podatność jest dostępna przed autoryzacją i nie wymaga interakcji użytkownika, serwery MongoDB wystawione na Internet są szczególnie narażone.”

Dane z firmy Censys zajmującej się zarządzaniem powierzchnią ataku pokazują, że na całym świecie istnieje ponad 87 000 potencjalnie wrażliwych instancji, z których większość znajduje się w USA, Chinach, Niemczech, Indiach i Francji. Wiz zauważyło, że 42% środowisk chmurowych ma przynajmniej jedną instancję MongoDB w wersji podatnej na CVE-2025-14847. Dotyczy to zarówno zasobów narażonych w Internecie, jak i wewnętrznych.

Szczegółowe informacje na temat ataków wykorzystujących tę lukę są obecnie nieznane. Użytkownicy są zachęcani do aktualizacji do wersji MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 oraz 4.4.30. Łaty dla MongoDB Atlas zostały już zastosowane. Warto również zauważyć, że podatność ta wpływa także na pakiet rsync w systemie Ubuntu, ponieważ korzysta z zlib.

Wśród tymczasowych rozwiązań zaleca się dezaktywację kompresji zlib na serwerze MongoDB, uruchamiając mongod lub mongos z opcją networkMessageCompressors lub net.compression.compressors, która wyraźnie pomija zlib. Inne środki zaradcze obejmują ograniczenie wystawienia serwerów MongoDB na sieć oraz monitorowanie logów MongoDB w poszukiwaniu anomalii przy połączeniach przed autoryzacją.