Критическая уязвимость в MongoDB: MongoBleed уже в руках хакеров
Критическая уязвимость MongoBleed (CVE-2025-14847) в MongoDB активно эксплуатируется хакерами. Более 87 тыс. серверов под угрозой утечки данных.
Критическая уязвимость в MongoDB Server, известная как MongoBleed и отслеживаемая под идентификатором CVE-2025-14847, уже используется злоумышленниками в реальных атаках. Это произошло всего через несколько дней после публикации доказательства концепции исследователем Джо Десимоне.
Критическая уязвимость в MongoDB: MongoBleed уже в руках хакеров
Суть проблемы
Уязвимость возникает в механизме обработки сжатых сетевых сообщений с использованием библиотеки zlib. При получении специально сформированного пакета сервер неверно обрабатывает параметры длины, что приводит к возврату клиенту неинициализированных фрагментов памяти кучи. Поскольку обработка происходит до проверки аутентификации, атака возможна без каких-либо учетных данных.
В утекаемых данных могут оказаться пароли баз данных, токены доступа, ключи облачных сервисов, фрагменты пользовательской информации и другие чувствительные элементы, ранее обрабатывавшиеся сервером.
Масштаб угрозы
По данным поисковых систем интернета, более 87 тысяч экземпляров MongoDB потенциально уязвимы и доступны из сети. В облачных средах до 42% организаций имеют хотя бы один экземпляр в пораженной версии. Эксплуатация подтверждена в реальных условиях, включая сканирование и извлечение данных.
Затронутые версии
Проблема затрагивает широкий спектр версий MongoDB Server:
- От 8.2.0 до 8.2.2
- От 8.0.0 до 8.0.16
- От 7.0.0 до 7.0.27
- От 6.0.0 до 6.0.26
- От 5.0.0 до 5.0.31
- От 4.4.0 до 4.4.29
- Все версии 4.2, 4.0 и 3.6
Оценка серьезности по CVSS составляет 8.7 баллов из 10.
Рекомендации по защите
MongoDB выпустила исправления 19 декабря 2025 года. Администраторам рекомендуется немедленно обновить серверы до безопасных версий:
| Ветка | Безопасная версия |
|---|---|
| 8.2 | 8.2.3 и выше |
| 8.0 | 8.0.17 и выше |
| 7.0 | 7.0.28 и выше |
| 6.0 | 6.0.27 и выше |
| 5.0 | 5.0.32 и выше |
| 4.4 | 4.4.30 и выше |
Пользователи управляемого сервиса MongoDB Atlas защищены автоматически. В качестве временной меры возможно отключение zlib-сжатия путем указания альтернативных компрессоров (snappy или zstd) в параметрах запуска.
Для выявления попыток эксплуатации рекомендуется анализировать логи сервера на предмет аномального количества сообщений о "медленных запросах" или использовать специализированные инструменты сообщества, такие как MongoBleed Detector.
Организациям следует ограничить сетевой доступ к портам MongoDB, оставив только необходимые соединения, и провести аудит.
Хронология событий
Патчи появились 19 декабря. 26 декабря Джо Десимоне опубликовал публичный эксплойт. К 28 декабря зафиксированы реальные атаки на уязвимые серверы.
Эта ситуация напоминает о важности оперативного применения обновлений безопасности, особенно для широко распространенных систем хранения данных.
