导语:MongoBleed漏洞的根源在于MongoDB服务器对zlib库处理网络数据包(用于无损数据压缩)的逻辑缺陷。
一款影响多个MongoDB版本的高危漏洞——MongoBleed(CVE-2025-14847)正被黑客在野活跃利用,目前全球公网暴露的潜在易受攻击服务器已超8万台。
该漏洞的公开利用工具及相关技术细节已被披露,攻击者可借助此漏洞,从暴露的MongoDB服务器中远程窃取密钥、凭证及其他敏感数据。
该漏洞的CVSS评分达8.7分,被列为“紧急修复级别”。自12月19日起,自托管MongoDB实例的修复补丁已正式发布。
漏洞利用原理:内存数据泄露
MongoBleed漏洞的根源在于MongoDB服务器对zlib库处理网络数据包(用于无损数据压缩)的逻辑缺陷。
Ox Security的研究人员解释,该漏洞的核心问题是:MongoDB在处理网络消息时,返回的是“分配的内存大小”,而非“解压后的数据长度”。
攻击者可发送构造畸形的网络消息,谎报解压后的数据尺寸,诱使服务器分配更大的内存缓冲区。在此过程中,服务器会将包含敏感信息的内存数据泄露给攻击者。
通过这种方式泄露的敏感信息包括但不限于:账号凭证、API密钥/云服务密钥、会话令牌、个人身份信息(PII)、内部日志、配置文件、路径信息及客户端相关数据。
由于网络消息的解压过程发生在身份认证之前,攻击者利用MongoBleed漏洞无需提供有效的登录凭证,攻击门槛极低。
这款名为“MongoBleed”的公开PoC利用工具由Elastic安全研究员开发,其核心功能就是窃取内存中的敏感数据。该PoC工具有效且操作简单:“只需获取MongoDB实例的IP地址,就能开始挖掘内存中的数据库密码(明文存储)、AWS密钥等信息。”
MongoBleed 漏洞利用程序致敏感信息泄露
据网络设备探测平台Censys数据,截至12月27日,全球公网暴露的潜在易受攻击MongoDB实例已达8.7万台。
在野利用现状与检测方案
云安全平台Wiz的遥测数据显示,该漏洞对云环境的影响同样严重——42%的可见系统中“至少存在一个受CVE-2025-14847漏洞影响的MongoDB实例”。
这些实例既包括内部资源,也涵盖公网暴露节点。目前已监测到MongoBleed(CVE-2025-14847)的在野利用行为,建议企业优先完成补丁更新。
另有未经证实的消息称,部分威胁者宣称在近期育碧《彩虹六号:围攻》在线平台入侵事件中,就利用了MongoBleed漏洞。
补丁更新仅为应对MongoBleed漏洞的一部分,企业还需排查是否已遭入侵。安全研究员提出一种检测方法:重点监控“发起数千次连接,但未产生任何元数据事件的源IP地址”。
不过研究员表示,该检测方法基于当前公开的PoC工具逻辑,攻击者可能通过伪造客户端元数据或降低攻击速度等方式规避检测。
MongoDB已针对MongoBleed漏洞发布修复公告,强烈建议管理员将服务器升级至安全版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30。
官方提示,受该漏洞影响的MongoDB版本范围极广:既包括2017年底发布的部分旧版本,也涵盖2025年11月刚发布的新版本,具体如下:
·MongoDB 8.2.0 至 8.2.3
·MongoDB 8.0.0 至 8.0.16
·MongoDB 7.0.0 至 7.0.26
·MongoDB 6.0.0 至 6.0.26
·MongoDB 5.0.0 至 5.0.31
·MongoDB 4.4.0 至 4.4.29
·所有MongoDB Server v4.2版本
·所有MongoDB Server v4.0版本
·所有MongoDB Server v3.6版本
MongoDB Atlas(全托管多云数据库服务)的用户无需手动操作,官方已自动完成补丁更新。MongoDB表示,该漏洞暂无临时规避方案。若暂时无法升级版本,建议用户在服务器上禁用zlib压缩功能,官方已提供具体操作指南。
文章来源自:https://www.bleepingcomputer.com/news/security/exploited-mongobleed-flaw-leaks-mongodb-secrets-87k-servers-exposed/如若转载,请注明原文地址
