複数のMongoDBバージョンに影響する深刻な脆弱性「MongoBleed(CVE-2025-14847)」が、実際の攻撃(in the wild)で積極的に悪用されており、公開Web上で8万台以上の潜在的に脆弱なサーバーが露出しています。
公開エクスプロイトと技術的詳細が提供されており、攻撃者がこの欠陥を引き起こして、露出したMongoDBサーバーから機密情報、認証情報、その他のセンシティブなデータをリモートで抽出できることが示されています。
この脆弱性には深刻度スコア8.7が割り当てられ、「重大な修正(critical fix)」として扱われています。セルフホスト環境向けのパッチは12月19日から提供されています。
エクスプロイトが機密情報を漏えい
MongoBleed脆弱性は、MongoDB Serverが、可逆データ圧縮のためにzlibライブラリで処理されるネットワークパケットを扱う方法に起因します。
Ox Securityの研究者は説明しており、この問題は、MongoDBがネットワークメッセージ処理時に、伸長後データの長さではなく、確保したメモリ量を返してしまうことが原因だとしています。
脅威アクターは、伸長後のサイズがより大きいと主張する不正なメッセージを送信でき、その結果サーバーがより大きなメモリバッファを確保し、機密情報を含むメモリ上のデータがクライアントへ漏えいします。
この方法で漏えいし得る機密情報の種類は、認証情報、APIキーおよび/またはクラウドキー、セッショントークン、個人を特定できる情報(PII)、内部ログ、設定、パス、クライアント関連データなど多岐にわたります。
ネットワークメッセージの伸長処理は認証段階の前に行われるため、MongoBleedを悪用する攻撃者は有効な認証情報を必要としません。
Elasticのセキュリティ研究者Joe Desimoneが「MongoBleed」と名付けた概念実証(PoC)として公開したエクスプロイトは、機密性の高いメモリデータを漏えいさせることを目的に作成されています。
セキュリティ研究者のKevin Beaumontは述べており、このPoCエクスプロイトコードは有効で、必要なのは「MongoDBインスタンスのIPアドレスだけで、データベースのパスワード(平文)やAWSのシークレットキーなど、メモリ上のものを探り始められる」としています。
出典: Kevin Beaumont
インターネット接続デバイスを発見するCensysプラットフォームによると、12月27日時点で、公開インターネット上に潜在的に脆弱なMongoDBインスタンスが8万7,000件以上露出していました。
MongoDBサーバーは米国で約2万台が観測され、次いで中国が約1万7,000台、ドイツが8,000台弱でした。
出典: Censys
悪用状況と検知
クラウド環境全体への影響も大きいようで、クラウドセキュリティプラットフォームWizのテレメトリデータでは、可視化できたシステムの42%が「CVE-2025-14847の影響を受けるバージョンのMongoDBインスタンスを少なくとも1つ持っている」ことが示されました。
Wizの研究者は、観測したインスタンスには内部リソースと公開露出したものの両方が含まれていたと指摘しています。同社は述べており、MongoBleed(CVE-2025-14847)が実際の攻撃で悪用されていることを観測したとして、組織に対しパッチ適用を優先するよう推奨しています。
未検証ではあるものの、一部の脅威アクターは、最近のUbisoftのRanbow Six Siegeオンラインプラットフォームの侵害でMongoBleedの欠陥を使用したと主張しています。
Recon InfoSecの共同創業者Eric Capuanoは、MongoBleed問題への対応はパッチ適用だけでは不十分だと警告し、侵害の兆候も確認するよう組織に助言しています。
昨日のブログ投稿で、この研究者は説明しており、「接続数が数百〜数千に達する一方でメタデータイベントがゼロの送信元IP」を探すことを含む検知方法を提示しています。
ただしCapuanoは、この検知は現時点で入手可能な概念実証エクスプロイトコードに基づくものであり、攻撃者が偽のクライアントメタデータを含めたり、悪用速度を落としたりするよう改変できると警告しています。
THOR APT Scannerと数千のYARAルールの作者であるFlorian Rothは、Capuanoの研究を活用してMongoBleed Detectorを作成しました。これはMongoDBログを解析し、CVE-2025-14847脆弱性の悪用の可能性を特定するツールです。
安全な可逆圧縮ツール
MongoDBは10日前にMongoBleed脆弱性へ対処し、管理者に対して安全なリリース(8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30)へアップグレードするよう強く推奨しました。
ベンダーは、2017年末にリリースされた古いレガシーバージョンから、2025年11月の比較的新しいものまで、非常に多くのMongoDBバージョンがMongoBleed(CVE-2025-14847)の影響を受けると警告しています:
- MongoDB 8.2.0〜8.2.3
- MongoDB 8.0.0〜8.0.16
- MongoDB 7.0.0〜7.0.26
- MongoDB 6.0.0〜6.0.26
- MongoDB 5.0.0〜5.0.31
- MongoDB 4.4.0〜4.4.29
- MongoDB Server v4.2の全バージョン
- MongoDB Server v4.0の全バージョン
- MongoDB Server v3.6の全バージョン
フルマネージドのマルチクラウドDBサービスであるMongoDB Atlasの顧客は、パッチを自動的に受け取っており、対応は不要です。
MongoDBは、この脆弱性に回避策はないとしています。新しいバージョンへ移行できない場合、ベンダーはサーバー側でzlib圧縮を無効化することを推奨し、その手順も提供しています。
可逆データ圧縮の安全な代替としては、MetaとGoogleがそれぞれ保守しているZstandard(zstd)およびSnappy(旧Zippy)があります。
