Публикация proof-of-concept (PoC) эксплойта для критической уязвимости в MongoDB под названием MongoBleed привела к тому, что десятки тысяч баз данных остаются беззащитными перед атаками. По данным организации The Shadowserver Foundation, в открытом доступе в интернете находятся 74 854 экземпляра MongoDB, работающие на уязвимых, непропатченных версиях. Это составляет около 95% от всех обнаруженных публичных серверов, общее число которых достигает 78 725. Информация об уязвимых системах, включая их IP-адреса, доступна в открытом отчете фонда.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-14847 и прозвище MongoBleed, была обнаружена в реализации сжатия zlib в MongoDB. Ошибка позволяет неаутентифицированным злоумышленникам читать неинициализированную память кучи (heap memory) из-за несоответствия полей длины в заголовках сжатого протокола Zlib. Проще говоря, атакующие могут извлекать конфиденциальные данные непосредственно из памяти сервера, не имея для этого учетных данных.
Компания MongoDB уже подтвердила, что уязвимость подвергается активной эксплуатации в реальных условиях. Проблема затрагивает широкий спектр версий СУБД, выпущенных за последние годы. В зоне риска оказались все версии, начиная с 3.6 и вплоть до недавних релизов 8.2.x. Конкретно уязвимыми являются MongoDB версий 8.2.0-8.2.3, 8.0.0-8.0.16, 7.0.0-7.0.26, 6.0.0-6.0.26, 5.0.0-5.0.31, 4.4.0-4.4.29, а также все версии 4.2, 4.0 и 3.6.
Для устранения уязвимости разработчик выпустил экстренные обновления. Организациям настоятельно рекомендуется немедленно обновить свои развертывания до защищенных версий: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30. Тем не менее, для систем, где немедленное обновление невозможно, MongoDB предлагает временное решение. Необходимо отключить сжатие zlib, исключив его из списка сетевых компрессоров сообщений. Администраторы могут сделать это, установив для сервисов mongod или mongos параметр "snappy,zstd" или полностью отключив сжатие, указав "disabled".
Эксперты по кибербезопасности обращают внимание на дополнительный фактор риска. Многие развертывания MongoDB до сих пор работают без настроенной аутентификации. Это значительно усугубляет угрозу, так как облегчает злоумышленникам доступ к системам. Следовательно, помимо установки заплаток, критически важно проверить и активировать механизмы аутентификации, если они еще не были настроены.
Ситуация с MongoBleed наглядно демонстрирует классический сценарий цепочки угроз. После публикации деталей и PoC-кода уязвимости следует резкий всплеск сканирования и попыток эксплуатации. Организации, которые откладывают применение исправлений, становятся легкой мишенью для злоумышленников, стремящихся похитить данные или получить точку опоры в корпоративной сети для дальнейших атак.
The Shadowserver Foundation уже внедрила систему тегирования на основе версий для автоматического выявления уязвимых экземпляров. Их открытый отчет служит важным инструментом для администраторов и специалистов по безопасности, позволяя проверить, не фигурируют ли их собственные системы в списке подверженных риску. В текущих условиях оперативность является ключевым фактором для предотвращения потенциальных инцидентов, связанных с утечкой чувствительной информации из памяти серверов баз данных.
Ссылки
- https://github.com/joe-desimone/mongobleed
- https://www.cve.org/CVERecord?id=CVE-2025-14847
- https://jira.mongodb.org/browse/SERVER-115508
- http://www.openwall.com/lists/oss-security/2025/12/29/21
