Một lỗ hổng bảo mật vừa được công bố trong MongoDB đang bị khai thác tích cực trên diện rộng, với hơn 87.000 phiên bản tiềm năng dễ bị tổn thương được xác định trên toàn thế giới.
Lỗ hổng được đề cập là CVE-2025-14847 (điểm CVSS: 8.7), cho phép kẻ tấn công không cần xác thực từ xa làm rò rỉ dữ liệu nhạy cảm từ bộ nhớ máy chủ MongoDB. Lỗ hổng này được đặt tên là MongoBleed.
"Một lỗ hổng trong tính năng nén zlib cho phép kẻ tấn công kích hoạt rò rỉ thông tin," OX Security cho biết. "Bằng cách gửi các gói mạng bị lỗi, kẻ tấn công có thể trích xuất các mảnh dữ liệu riêng tư."
Vấn đề nằm ở việc triển khai giải nén tin nhắn zlib của MongoDB Server ("message_compressor_zlib.cpp"). Nó ảnh hưởng đến các phiên bản có bật tính năng nén zlib, đây là cấu hình mặc định. Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công trích xuất thông tin nhạy cảm từ các máy chủ MongoDB, bao gồm thông tin người dùng, mật khẩu và API keys.
"Mặc dù kẻ tấn công có thể cần gửi một lượng lớn yêu cầu để thu thập toàn bộ cơ sở dữ liệu, và một số dữ liệu có thể vô nghĩa, nhưng càng có nhiều thời gian, kẻ tấn công càng có thể thu thập được nhiều thông tin hơn," OX Security nói thêm.
Công ty bảo mật đám mây Wiz cho biết CVE-2025-14847 xuất phát từ một lỗ hổng trong logic giải nén tin nhắn mạng dựa trên zlib, cho phép kẻ tấn công không cần xác thực gửi các gói mạng nén bị lỗi để kích hoạt lỗ hổng và truy cập vào bộ nhớ heap chưa được khởi tạo mà không cần thông tin đăng nhập hợp lệ hoặc tương tác của người dùng.
"Logic bị ảnh hưởng đã trả về kích thước bộ đệm được cấp phát (output.length()) thay vì độ dài dữ liệu đã giải nén thực tế, cho phép các tải trọng quá nhỏ hoặc bị lỗi làm lộ bộ nhớ heap liền kề," các nhà nghiên cứu bảo mật Merav Bar và Amitai Cohen cho biết. "Vì lỗ hổng có thể tiếp cận được trước khi xác thực và không yêu cầu tương tác của người dùng, nên các máy chủ MongoDB tiếp xúc với Internet đặc biệt có nguy cơ."
Dữ liệu từ công ty quản lý bề mặt tấn công Censys cho thấy có hơn 87.000 phiên bản tiềm năng dễ bị tổn thương, với phần lớn trong số đó nằm ở Hoa Kỳ, Trung Quốc, Đức, Ấn Độ và Pháp. Wiz lưu ý rằng 42% môi trường đám mây có ít nhất một phiên bản MongoDB trong một phiên bản dễ bị tổn thương bởi CVE-2025-14847. Điều này bao gồm cả các tài nguyên được phơi bày ra Internet và tài nguyên nội bộ.
Chi tiết chính xác về bản chất các cuộc tấn công khai thác lỗ hổng hiện chưa được xác định. Người dùng được khuyến nghị cập nhật lên các phiên bản MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 và 4.4.30. Các bản vá cho MongoDB Atlas đã được áp dụng. Điều đáng chú ý là lỗ hổng này cũng ảnh hưởng đến gói Ubuntu rsync, vì nó sử dụng zlib.
Để khắc phục tạm thời, bạn nên tắt tính năng nén zlib trên MongoDB Server bằng cách khởi động mongod hoặc mongos với tùy chọn networkMessageCompressors hoặc net.compression.compressors loại bỏ rõ ràng zlib. Các biện pháp giảm thiểu khác bao gồm hạn chế phơi bày mạng của các máy chủ MongoDB và giám sát nhật ký MongoDB để tìm các kết nối bất thường trước khi xác thực.
