Cybersecurity and Infrastructure Security Agency(CISA)は、MongoDBに存在する重大な脆弱性について公式に警告を発し、この欠陥を既知の悪用されている脆弱性カタログ(KEV)に追加しました。
この動きは、「MongoBleed」と名付けられたこのバグが、世界中のサーバーから機密データを盗むためにハッカーによって積極的に悪用されていることを裏付けています。この欠陥は深刻です。データベースが圧縮ライブラリzlibを使用する際の「長さパラメータの不整合の不適切な処理」に起因します。
Ox Securityのセキュリティ研究者は、この脆弱性の仕組みを明らかにしました。これは、MongoDBがネットワークメッセージの処理中に割り当てたメモリ量を、解凍後の実際のデータサイズではなく返してしまう傾向に由来します。
CVE-2025-14847として識別されるこの脆弱性は、深刻度スコア8.7で、レガシー環境から最新リリースに至るまで、幅広いMongoDB Serverのバージョンに影響します。
CISAの対応は、広範な悪用報告を受けたものです。同機関は警告し、「この種の脆弱性は悪意ある者にとって頻繁な攻撃ベクトルであり、連邦政府の業務にとって重大なリスクをもたらす」と述べています。
影響を受けるバージョンの一覧は広範で、長年のリリースにわたります:
- MongoDB 8.2.0〜8.2.3
- MongoDB 8.0.0〜8.0.16
- MongoDB 7.0.0〜7.0.26
- MongoDB 6.0.0〜6.0.26
- MongoDB 5.0.0〜5.0.31
- MongoDB 4.4.0〜4.4.29
- 4.2、4.0、3.6のすべてのバージョン
インターネットに接続された資産の発見に特化したプラットフォームであるCensysによると、12月27日時点で、公開インターネット上に露出している潜在的に脆弱なMongoDBインスタンスは87,000件を超えていました。
この構造的な不整合により、攻撃者は「解凍後サイズを過大に宣言する不正な形式のメッセージ」を送信でき、サーバーを欺いて拡張可能なメモリバッファを確保させます。その後、サーバーは初期化されていないこのメモリの内容を、意図せず攻撃者に返してしまいます。
この欠陥を悪用することで、攻撃者は認証を必要とせず、露出したMongoDBインスタンスから秘密情報、認証情報、その他の機密データをリモートで収集し、完全な抽出を行うことができます。
MongoDBは10日前にこの脆弱性を修正しており、すべての管理者に対して直ちに「安全なバージョン」へ更新するよう呼びかけています。修正済みバージョンは以下のとおりです:
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30
幸いにも、同社のフルマネージドなマルチクラウドサービスであるMongoDB Atlasを利用している顧客には自動的にパッチが適用されており、対応は不要です。
この記事は気に入りましたか?私たちはLinkedIn、Facebook、Instagramのコミュニティで議論しています。サイバーセキュリティに関する日々の最新情報を受け取るには、Google Newsでもフォローしてください。掲載したいニュース、分析、寄稿をお知らせになりたい場合は、ご連絡ください。