Sursa: dnsc.ro
CVE-2025-14847, cunoscută sub numele de „MongoBleed”, este o vulnerabilitate cu scor CVSS v4.0 de 8.7 (High), de tip “heap memory leak” în MongoDB Server. Aceasta permite unui atacator neautentificat să obțină fragmente de memorie neinițializată din server, înainte de verificarea autentificării.
MongoDB este una dintre cele mai utilizate baze de date de tip „NoSQL” la nivel mondial, fiind folosită în aplicații web, servicii de back-end și soluții cloud. Exploatarea acestei vulnerabilități pe instanțe expuse public poate avea un impact major asupra confidențialității datelor.
DETALII TEHNICE
Vulnerabilitatea apare din cauza modului în care MongoDB gestionează mesajele de rețea comprimate cu zlib. Atunci când serverul primește un mesaj special creat, poate interpreta greșit dimensiunea reală a datelor după decompresie. Ca urmare, în răspunsul trimis către client pot fi incluse fragmente de memorie care nu au fost inițializate corespunzător, ceea ce poate duce la expunerea unor informații sensibile din memoria serverului.
Exploatarea vulnerabilității MongoBleed poate genera un volum neobișnuit de evenimente de conectare și deconectare (ID 22943/22944) care nu sunt urmate de mesajul de “client metadata” (ID 51800), transmis în mod normal la stabilirea unei conexiuni legitime cu MongoDB. Detectarea acestui tipar poate indica o tentativă de compromitere.
RECOMANDĂRI GENERALE
- Actualizați MongoDB la o versiune remediată cât mai repede posibil.
Versiuni remediate:
- 8.2.3 sau mai nouă
- 8.0.17 sau mai nouă
- 7.0.28 sau mai nouă
- 6.0.27 sau mai nouă
- 5.0.32 sau mai nouă
- 4.4.30 sau mai nouă
- Pentru versiunile 2.x, 4.0.x și 3.6.x, care nu mai beneficiază de patch-uri oficiale, este recomandată migrarea către o versiune MongoDB actualizată.
- În cazul în care actualizarea nu este posibilă imediat, se recomandă dezactivarea compresiei zlib prin configurarea “networkMessageCompressors” fără zlib și limitarea accesului la server doar din rețele sau adrese IP de încredere.
- Activați înregistrarea detaliată a log-urilor în format JSON pentru a monitoriza mai eficient metadatele conexiunilor și eventualele erori apărute în procesarea mesajelor.
- Analizați log-urile pentru conexiuni frecvente sau neobișnuite, provenite de la adrese IP suspecte, care nu conțin metadate complete.
- În cazul în care există indicii de exploatare, este recomandată schimbarea tuturor secretelor sensibile, precum token-urile, cheile și credențialele potențial expuse.
CONCLUZII
CVE-2025-14847 este o vulnerabilitate critică cu impact major asupra confidențialității datelor în MongoDB Server. Având în vedere că permite expunerea de informații din memorie fără a necesita autentificare, precum și ușurința cu care poate fi exploatată la nivel de rețea, organizațiile cu instanțe MongoDB expuse trebuie să remedieze imediat problema prin aplicarea patch-urilor oferite de furnizor sau, dacă nu este posibil imediat, prin implementarea măsurilor de remediere și restricțiilor de acces. În lipsa acestor acțiuni, datele sensibile sau cheile de acces pot fi compromise, oferind atacatorilor un avantaj semnificativ, ceea ce poate conduce la exploatarea altor sisteme din infrastructură.
