MongoDB爆重大記憶體洩漏漏洞MongoBleed，攻擊者正積極利用竊取敏感資料

這個被命名為 MongoBleed 的漏洞編號為 CVE-2025-14847，允許遠端攻擊者在無需身分驗證的情況下，從伺服器記憶體中擷取明文憑證、驗證權杖及敏感客戶資料。安全廠商 Rapid7 測試後證實，公開的概念驗證程式碼（PoC）完全可用且穩定，對運行自管理 MongoDB 實例的組織構成嚴重威脅。

MongoDB 將此漏洞的 CVSS 嚴重性評分定為 8.7(滿分 10 分)，但 Rapid7 警告，此漏洞對受影響組織可能造成嚴重後果。

攻擊活動始於 2025 年 12 月 29 日，距離 PoC 程式碼公開僅三天。MongoDB 公司於 12 月 19 日首次披露此安全問題，一週後(12 月 26 日)功能性攻擊程式碼便在網路上發布。又過了三天，美國網路安全暨基礎設施安全局(CISA)證實此漏洞已遭野外利用。

漏洞技術細節與威脅

MongoBleed 利用 MongoDB 伺服器的記憶體洩漏問題。當伺服器設定使用 Zlib 壓縮演算法處理網路訊息時(這在許多生產環境中是常見設定)，攻擊者可透過經設計的 Zlib 壓縮網路封包，欺騙伺服器洩漏記憶體內容。

這個漏洞特別危險的原因是因為不需要身分驗證。任何遠端攻擊者都能透過網路存取，無需有效憑證或特殊權限。洩漏的記憶體可能包含高價值機密，例如密碼、API 金鑰，以及其他並行資料庫會話（Session）的資料。

唯一的緩解因素是 CVE-2025-14847 只允許攻擊者竊取未初始化的堆積記憶體(Uninitialized Heap Memory)，即伺服器 RAM 中尚未正確清除先前資訊的部分。因此，攻擊者無法針對特定資料發動攻擊，只能透過重複嘗試，碰運氣捕獲敏感資訊。

受影響版本與修補建議

CVE-2025-14847 影響廣泛的 MongoDB 版本,包括 4.4、5.0、6.0、7.0 和 8.0 分支。MongoDB 建議受影響組織升級至 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30 版本。

Rapid7 發布的報告敦促受影響組織立即修補漏洞，不應等待正常的修補週期。報告特別強調：由於漏洞性質特殊，單純修補並不足夠，組織還必須輪換所有可能在修補前已暴露的資料庫和應用程式憑證。

如果無法立即升級，MongoDB 建議停用伺服器的 zlib 壓縮功能。具體做法是透過 networkMessageCompressors 或 net.compression.compressors 選項明確排除 Zlib。安全的設定值範例包括 snappy、zstd 或 disabled。

漏洞利用時間持續縮短

MongoBleed 攻擊顯示修補管理仍是企業防禦的關鍵，也凸顯漏洞披露與實際利用之間的時間窗口持續縮短。根據 Vectra.ai 的 2025 年分析，新披露漏洞的平均利用時間已從 2018 到 2019 年的 63 天縮短至 2024 年的僅 5 天。該研究還發現，現在超過 28% 的漏洞在披露後 24 小時內即遭利用。

隨著 AI 在漏洞利用開發中的應用日益增加，這些時間可能進一步縮短，使資安團隊面臨更大的快速回應壓力。

本文轉載自 DarkReading。