Một lỗ hổng bảo mật mới được tiết lộ trong MongoDB đang bị khai thác tích cực trong thực tế, với hơn 87.000 phiên bản tiềm năng dễ bị tấn công đã được xác định trên toàn thế giới.
Lỗ hổng được đề cập là CVE-2025-14847 (điểm CVSS: 8.7), cho phép kẻ tấn công chưa được xác thực từ xa làm rò rỉ dữ liệu nhạy cảm từ bộ nhớ máy chủ MongoDB. Lỗ hổng này được đặt tên là MongoBleed.
"Một lỗi trong quá trình nén zlib cho phép kẻ tấn công kích hoạt rò rỉ thông tin," OX Security cho biết. "Bằng cách gửi các gói mạng bị lỗi, kẻ tấn công có thể trích xuất các mảnh dữ liệu riêng tư."
Vấn đề nằm ở việc triển khai giải nén tin nhắn zlib của MongoDB Server ("message_compressor_zlib.cpp"). Nó ảnh hưởng đến các phiên bản có bật tính năng nén zlib, đây là cấu hình mặc định. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công trích xuất thông tin nhạy cảm từ các máy chủ MongoDB, bao gồm thông tin người dùng, mật khẩu và API keys.
OX Security nói thêm: "Mặc dù kẻ tấn công có thể cần gửi một lượng lớn yêu cầu để thu thập toàn bộ cơ sở dữ liệu, và một số dữ liệu có thể vô nghĩa, nhưng càng có nhiều thời gian, kẻ tấn công càng có thể thu thập được nhiều thông tin hơn."
Công ty bảo mật đám mây Wiz cho biết CVE-2025-14847 bắt nguồn từ một lỗi trong logic giải nén tin nhắn mạng dựa trên zlib, cho phép kẻ tấn công chưa được xác thực gửi các gói mạng nén bị lỗi để kích hoạt lỗ hổng và truy cập vào bộ nhớ heap chưa được khởi tạo mà không cần thông tin xác thực hợp lệ hoặc tương tác của người dùng.
Các nhà nghiên cứu bảo mật Merav Bar và Amitai Cohen cho biết: "Logic bị ảnh hưởng đã trả về kích thước bộ đệm được cấp phát (output.length()) thay vì độ dài dữ liệu đã giải nén thực tế, cho phép các payload bị lỗi hoặc quá nhỏ làm lộ bộ nhớ heap liền kề." "Vì lỗ hổng này có thể truy cập được trước khi xác thực và không yêu cầu tương tác của người dùng, nên các máy chủ MongoDB bị lộ ra Internet đặc biệt gặp rủi ro."
Dữ liệu từ công ty quản lý bề mặt tấn công Censys cho thấy có hơn 87.000 phiên bản tiềm năng dễ bị tấn công, với phần lớn nằm ở Hoa Kỳ, Trung Quốc, Đức, Ấn Độ và Pháp. Wiz lưu ý rằng 42% môi trường đám mây có ít nhất một phiên bản MongoDB ở phiên bản dễ bị tổn thương bởi CVE-2025-14847. Điều này bao gồm cả các tài nguyên bị lộ ra Internet và tài nguyên nội bộ.
Các chi tiết chính xác xung quanh bản chất của các cuộc tấn công khai thác lỗ hổng hiện chưa được biết. Người dùng được khuyến nghị cập nhật lên các phiên bản MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 và 4.4.30. Các bản vá cho MongoDB Atlas đã được áp dụng. Điều đáng chú ý là lỗ hổng này cũng ảnh hưởng đến gói Ubuntu rsync, vì nó sử dụng zlib.
Để khắc phục tạm thời, khuyến nghị tắt tính năng nén zlib trên MongoDB Server bằng cách khởi động mongod hoặc mongos với tùy chọn networkMessageCompressors hoặc net.compression.compressors mà bỏ qua rõ ràng zlib. Các biện pháp giảm thiểu khác bao gồm hạn chế phơi bày mạng của các máy chủ MongoDB và giám sát nhật ký MongoDB để phát hiện các kết nối bất thường trước khi xác thực.
