Высокоопасная уязвимость в MongoDB Server, доказательства концепции для которой появились на рождественской неделе, в настоящее время активно эксплуатируется, по данным Агентства по кибербезопасности и инфраструктурной безопасности США (CISA).
Какой же праздничный перерыв без потенциально разрушительной уязвимости в системе безопасности, способной сорвать вечеринку? И эта уязвимость, безусловно, подходит под это описание. Один из экспертов назвал её “практически Heartbleed для MongoDB”.
Да, всё настолько серьёзно.
Уязвимость, получившая обозначение CVE-2025-14847 и оцененная в 8.7 баллов по шкале CVSS, связана с несоответствием полей длины в zlib-сжатых заголовках протокола в широко используемом open-source MongoDB Server. При эксплуатации с помощью некорректного пакета не прошедший аутентификацию удаленный злоумышленник может прочитать неинициализированную память кучи. Как отметила OX Security в канун Рождества, это означает, что злоумышленник может получить доступ к информации о пользователях, паролям, ключам API и многому другому.
“Хотя злоумышленнику может потребоваться отправить большое количество запросов для сбора полной базы данных, и некоторые данные могут быть бессмысленными, чем больше времени у злоумышленника, тем больше информации можно собрать”, – заявила OX. Вы знаете, время, которое у них было бы во время рождественских каникул, пока наблюдатели за угрозами заняты поглощением гоголь-моголя.
Уязвимость, получившая название MongoBleed от исследователя Elastic Security, который 26 декабря опубликовал доказательство концепции, была фактически обнаружена еще 15 декабря и вскоре после этого исправлена командой MongoDB. Она затрагивает широкий спектр версий MongoDB Server, и MongoDB настоятельно призывает пострадавших пользователей немедленно перейти на исправленные версии.
“Если вы не можете обновиться немедленно, отключите сжатие zlib на MongoDB Server”, – настоятельно рекомендовал производитель MongoDB.
Любой MongoDB Server, подключенный к интернету и работающий на уязвимой версии, открыт для атак, и OX отметила, что частные серверы, доступные злоумышленникам через боковое перемещение, также являются легкой добычей, если их удастся выследить.
Специфика уязвимости связана с сетевым транспортным уровнем MongoDB, который, как отметила OX, можно заставить выделять или обрабатывать буферы недостаточного размера во время декомпрессии сетевых сообщений. Компрессор сообщений zlib, используемый MongoDB до выхода патча, исправляющего проблему, был запрограммирован на возврат длины вывода вместо фактической длины распакованных данных, что означает, что его можно обманом заставить выдать все, что находится в выделенной памяти, вместо реальной длины распакованных данных. Ой.
“Этот тип уязвимости является частым вектором атак для злоумышленников и представляет значительный риск для федеральных предприятий”, – отметила CISA, добавив MongoBleed в свой каталог известных эксплуатируемых уязвимостей в понедельник.
С возвращением после праздничного перерыва, независимо от того, вернулись ли вы по расписанию или для решения этой активно эксплуатируемой уязвимости, которая появилась в сети как раз в тот момент, когда Санта готовился разносить подарки. Надеемся, он использует другого поставщика баз данных или уже обновил свои системы. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Brandon Vigliarolo
