Lỗ hổng bảo mật MongoDB CVE-2025-14847 đang bị khai thác trên toàn thế giới

[T-800]

Một lỗ hổng bảo mật mới được phát hiện trong MongoDB đang bị khai thác tích cực trên thực tế, với hơn 87.000 trường hợp có khả năng bị ảnh hưởng đã được xác định trên toàn thế giới.

Lỗ hổng được đề cập là CVE-2025-14847 (điểm CVSS: 8.7), cho phép kẻ tấn công không cần xác thực có thể rò rỉ dữ liệu nhạy cảm từ bộ nhớ máy chủ MongoDB từ xa. Nó được đặt tên mã là MongoBleed.

"Lỗi trong quá trình nén zlib cho phép kẻ tấn công gây ra rò rỉ thông tin," OX Security cho biết. "Bằng cách gửi các gói mạng bị lỗi, kẻ tấn công có thể trích xuất các đoạn dữ liệu riêng tư."

Vấn đề bắt nguồn từ việc triển khai giải nén tin nhắn zlib của MongoDB Server ("message_compressor_zlib.cpp"). Nó ảnh hưởng đến các phiên bản đã bật tính năng nén zlib, đây là cấu hình mặc định. Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công trích xuất thông tin nhạy cảm từ máy chủ MongoDB, bao gồm thông tin người dùng, mật khẩu và khóa API.

"Mặc dù kẻ tấn công có thể cần gửi một lượng lớn yêu cầu để thu thập toàn bộ cơ sở dữ liệu, và một số dữ liệu có thể vô nghĩa, nhưng càng có nhiều thời gian, kẻ tấn công càng có thể thu thập được nhiều thông tin hơn", OX Security cho biết thêm.

Công ty bảo mật đám mây Wiz cho biết CVE-2025-14847 bắt nguồn từ một lỗi trong logic giải nén thông điệp mạng dựa trên zlib, cho phép kẻ tấn công không được xác thực gửi các gói mạng nén bị lỗi để kích hoạt lỗ hổng và truy cập vào bộ nhớ heap chưa được khởi tạo mà không cần thông tin xác thực hợp lệ hoặc tương tác của người dùng.

Các nhà nghiên cứu bảo mật Merav Bar và Amitai Cohen cho biết : "Logic bị ảnh hưởng trả về kích thước bộ đệm được cấp phát (output.length()) thay vì độ dài dữ liệu đã được giải nén thực tế, cho phép các tải trọng có kích thước nhỏ hơn hoặc bị lỗi làm lộ bộ nhớ heap liền kề. Vì lỗ hổng này có thể được khai thác trước khi xác thực và không yêu cầu sự tương tác của người dùng, nên các máy chủ MongoDB được kết nối với Internet đặc biệt dễ bị tổn thương."

Dữ liệu từ công ty quản lý bề mặt tấn công Censys cho thấy có hơn 87.000 trường hợp có khả năng dễ bị tổn thương, phần lớn nằm ở Mỹ, Trung Quốc, Đức, Ấn Độ và Pháp. Wiz lưu ý rằng 42% môi trường đám mây có ít nhất một phiên bản MongoDB dễ bị tổn thương bởi CVE-2025-14847. Điều này bao gồm cả các tài nguyên được kết nối internet và các tài nguyên nội bộ.

Hiện tại, các chi tiết chính xác về bản chất của các cuộc tấn công khai thác lỗ hổng này vẫn chưa được biết rõ. Người dùng được khuyến cáo cập nhật lên các phiên bản MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 và 4.4.30. Các bản vá cho MongoDB Atlas đã được áp dụng. Cần lưu ý rằng lỗ hổng này cũng ảnh hưởng đến gói rsync của Ubuntu, vì nó sử dụng zlib.

Để khắc phục tạm thời, bạn nên tắt tính năng nén zlib trên máy chủ MongoDB bằng cách khởi động mongod hoặc mongos với tùy chọn networkMessageCompressors hoặc net.compression.compressors để bỏ qua zlib một cách rõ ràng. Các biện pháp giảm thiểu khác bao gồm hạn chế khả năng truy cập mạng của máy chủ MongoDB và giám sát nhật ký MongoDB để phát hiện các kết nối xác thực trước bất thường.