Nedávno zverejnená bezpečnostná zraniteľnosť v MongoDB sa začala aktívne zneužívať v reálnych útokoch, pričom po celom svete bolo identifikovaných viac ako 87 000 potenciálne zraniteľných inštancií.
Dotknutou zraniteľnosťou je CVE-2025-14847 (CVSS skóre: 8,7), ktorá umožňuje neautentifikovanému útočníkovi na diaľku uniknúť citlivé údaje z pamäte servera MongoDB. Zraniteľnosť dostala názov MongoBleed.
„Chyba v kompresii zlib umožňuje útočníkom spustiť únik informácií,“ uviedla spoločnosť OX Security. „Odoslaním poškodených sieťových paketov môže útočník extrahovať fragmenty súkromných údajov.“
Problém má pôvod v implementácii dekompresie správ zlib v serveri MongoDB („message_compressor_zlib.cpp“). Týka sa inštancií, ktoré majú povolenú kompresiu zlib, čo je predvolené nastavenie. Úspešné zneužitie tejto chyby môže útočníkovi umožniť extrahovať citlivé informácie zo serverov MongoDB, vrátane používateľských údajov, hesiel a API kľúčov.
„Hoci útočník môže potrebovať odoslať veľké množstvo požiadaviek na získanie celej databázy a niektoré údaje môžu byť bezvýznamné, čím viac času má útočník k dispozícii, tým viac informácií môže získať,“ dodala spoločnosť OX Security.
Spoločnosť Wiz, ktorá sa zaoberá cloudovou bezpečnosťou, uviedla, že CVE-2025-14847 vyplýva z chyby v logike dekompresie sieťových správ založenej na zlib, ktorá umožňuje neautentifikovanému útočníkovi odosielať poškodené, komprimované sieťové pakety s cieľom spustiť zraniteľnosť a získať prístup k neinicializovanej pamäti haldy bez platných prihlasovacích údajov alebo interakcie používateľa.
„Dotknutá logika vracala veľkosť alokovaného buffera (output.length()) namiesto skutočnej dĺžky dekomprimovaných údajov, čo umožnilo, aby poddimenzované alebo poškodené dáta odhalili susednú pamäť haldy,“ uviedli bezpečnostní výskumníci Merav Bar a Amitai Cohen. „Keďže je zraniteľnosť dostupná ešte pred autentifikáciou a nevyžaduje interakciu používateľa, servery MongoDB vystavené internetu sú obzvlášť ohrozené.“
Údaje od spoločnosti Censys, ktorá sa zaoberá správou útočnej plochy, ukazujú, že existuje viac ako 87 000 potenciálne zraniteľných inštancií, pričom väčšina z nich sa nachádza v USA, Číne, Nemecku, Indii a Francúzsku. Spoločnosť Wiz poznamenala, že 42 % cloudových prostredí má aspoň jednu inštanciu MongoDB vo verzii zraniteľnej voči CVE-2025-14847. To zahŕňa verejne dostupné aj interné zdroje.
Presné detaily o povahe útokov, ktoré túto chybu zneužívajú, sú v súčasnosti neznáme. Používateľom sa odporúča aktualizovať na verzie MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 a 4.4.30. Opravy pre MongoDB Atlas už boli nasadené. Je tiež potrebné poznamenať, že zraniteľnosť ovplyvňuje aj balík rsync v Ubuntu, keďže používa knižnicu zlib.
Ako dočasné riešenia sa odporúča zakázať kompresiu zlib na serveri MongoDB spustením mongod alebo mongos s voľbou networkMessageCompressors alebo net.compression.compressors, ktorá explicitne vynecháva zlib. Medzi ďalšie zmierňujúce opatrenia patrí obmedzenie sieťovej dostupnosti serverov MongoDB a monitorovanie logov MongoDB na anomálne spojenia pred autentifikáciou.
Americká agentúra pre kybernetickú bezpečnosť a ochranu infraštruktúry (CISA) zaradila CVE-2025-14847 do svojho katalógu aktívne zneužívaných zraniteľností dňa 29. decembra 2025, pričom federálnym civilným výkonným orgánom (FCEB) nariadila aplikovať opravy najneskôr do 19. januára 2026.
„Server MongoDB obsahuje zraniteľnosť spočívajúcu v nesprávnom spracovaní nekonzistencie parametra dĺžky v hlavičkách protokolu komprimovaných pomocou zlib,“ uviedla CISA. „Táto zraniteľnosť môže umožniť neautentifikovanému klientovi čítanie neinicializovanej pamäte haldy.“
Viac informácií tu:
https://thehackernews.com/2025/12/mongodb-vulnerability-cve-2025-14847.html
https://www.securityweek.com/fresh-mongodb-vulnerability-exploited-in-attacks