MongoDBは、野放しの環境で実際に悪用されている深刻な脆弱性MongoBleed(CVE-2025-14847)に関する緊急警告を受け、重要なセキュリティツールを公開しました。
Wizのセキュリティ研究者は、自己ホスト型のMongoDBデータベースが数万件規模で、このメモリ漏えいの欠陥により差し迫ったリスクにさらされていることを確認しました。
MongoBleedは悪名高いHeartbleed脆弱性と類似しており、リモート攻撃者が検知されることなくサーバーメモリから直接機密データを抽出できるようになります。
この欠陥はMongoDB Serverのzlibによるネットワークメッセージ解凍ロジックに存在し、サーバーが処理前に圧縮データパケットの長さを検証しないことに起因します。
重大なのは、攻撃者がこの脆弱性を悪用するのに認証情報を一切必要としない点です。特別に細工された悪意あるパケットにより、サーバーは未初期化のヒープメモリ断片を漏えいし、そこにはユーザー認証情報、認証トークン、顧客データが含まれ得ます。しかも認証は不要です。
この脆弱性の影響範囲は憂慮すべきものです。Wizの調査によれば、クラウド環境のおよそ42%に少なくとも1つの脆弱なMongoDBインスタンスが存在します。
Censysのスキャンでは、世界中で87,000件を超える潜在的に露出したインスタンスが特定されており、重大な攻撃対象領域を形成しています。
悪用の難易度が低く、露出範囲も広いことから、これは自動化攻撃、ランサムウェア集団、そしてデータベースへの不正アクセスを狙う国家支援型アクターにとって格好の標的となっています。
この脆弱性は、以下を含む複数のMongoDBバージョンに影響します:
MongoDB Atlasのユーザーは対応不要です。クラウド環境には自動的にパッチが適用されています。しかし、自己ホスト型のデプロイを運用する管理者は、脆弱性のある一覧と自分のバージョンを照合し、セキュリティ更新を適用することで直ちに対応する必要があります。
12月26日に公開のエクスプロイトコードが利用可能になって以降、攻撃が広範に激化する前のパッチ適用の猶予期間は急速に短くなっています。
組織は、外部に公開されているMongoDBインスタンスの更新を優先し、その後、内部のデプロイを体系的に対処すべきです。
MongoDBは、脆弱なインスタンスを特定するための検出ツールを公開しており、セキュリティチームが露出状況を評価し、インフラ全体にわたる修復作業の優先順位付けを行えるようにしています。