CVE-2025-14847の概念実証(PoC)エクスプロイトコードが公開された後も、74,000台超のMongoDBデータベースサーバーが重大なセキュリティ欠陥に対して脆弱なまま残っています。
Shadowserver Foundationによると、74,854件の公開されたMongoDBインスタンスが未修正のデータベースソフトウェアを実行しており、現在オンラインの公開MongoDBサーバー全体の95%に相当します。
MongoBleedはMongoDBのzlib圧縮実装における重大な欠陥を悪用し、未認証の攻撃者が初期化されていないヒープメモリを読み取れるようにします。
この脆弱性は、Zlib圧縮されたプロトコルヘッダーにおける長さフィールドの不一致に起因し、脅威アクターが認証情報なしにサーバーメモリから直接機密データを抽出できるようになります。
MongoDBは、実環境での悪用が進行中であることを確認しています。この脆弱性は、v3.6から現行の8.2.xリリースまで、数年にわたる複数バージョンに影響します。
MongoDBは、この脆弱性に対処する緊急パッチをリリースしました。組織は直ちに、修正済みバージョンである8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30へアップグレードする必要があります。
即時の展開が必要なシステム向けに、MongoDBは暫定的な回避策としてzlib圧縮を無効化することを推奨しています。
管理者は、mongodまたはmongosサービスの起動時に、ネットワークメッセージ圧縮の設定を「snappy,zstd」または「disabled」に構成すべきです。
セキュリティ研究者は、多くのMongoDB導入環境が適切な認証メカニズムを欠いていることで、脆弱性リスクをさらに増大させていると強調しています。
Shadowserver Foundationは、脆弱なインスタンスを特定するためにバージョンベースのタグ付けを実装し、Open MongoDB Reportを通じてIPアドレスを共有しています。
MongoDBインフラを運用する組織は、直ちにパッチ適用状況を確認し、未設定であれば認証を有効化すべきです。
未修正のシステムと認証無効の組み合わせは、データ侵害およびメモリ悪用攻撃の深刻なリスクを生み出します。
翻訳元: https://cyberpress.org/70000-mongodb-poc-is-released/