- MongoBleed(CVE-2025-14847)は、初期化されていないヒープメモリの悪用により機密データを漏えいさせる
- 露出したMongoDBインスタンス約87,000件が脆弱で、主に米国、中国、ドイツに所在
- パッチは12月19日に公開。MongoDB Atlasは自動適用済みで、現時点で実害の確認はなし
複数バージョンのMongoDBを悩ませる高深刻度の脆弱性「MongoBleed」は、概念実証(PoC)がウェブ上で公開されたことで、いまや容易に悪用できるようになりました。
今週初め、セキュリティ研究者のJoe Desimone氏が、CVE-2025-14847として追跡されている「初期化されていないヒープメモリの読み取り」脆弱性を悪用するコードを公開しました。この脆弱性は8.7/10(高)と評価されており、「Zlib圧縮されたプロトコルヘッダーにおける長さフィールドの不一致」に起因します。
展開後のサイズがより大きいと主張する汚染メッセージを送ることで、攻撃者はサーバーにより大きなメモリバッファを確保させ、そのバッファを通じて、認証情報、クラウドキー、セッショントークン、APIキー、設定情報などの機密情報を含むメモリ上のデータを漏えいさせることができます。
安全を保つ方法
さらに言えば、MongoBleedを悪用する攻撃者は、この攻撃を成功させるために有効な認証情報を必要としません。
BleepingComputerは記事の中で、Censysのデータによれば、公開インターネット上に露出している潜在的に脆弱なインスタンスが約87,000件あると確認しています。大半は米国(20,000件)にあり、中国(17,000件)とドイツ(約8,000件)にも目立った数が存在します。
以下は脆弱なバージョンの一覧です:
MongoDB 8.2.0〜8.2.3
MongoDB 8.0.0〜8.0.16
MongoDB 7.0.0〜7.0.26
MongoDB 6.0.0〜6.0.26
MongoDB 5.0.0〜5.0.31
MongoDB 4.4.0〜4.4.29
MongoDB Server v4.2の全バージョン
MongoDB Server v4.0の全バージョン
MongoDB Server v3.6の全バージョン
上記のいずれかを運用している場合は、必ずパッチを適用してください。セルフホストのインスタンス向けの修正は12月19日から提供されています。MongoDB Atlasを利用しているユーザーは、インスタンスが自動的にパッチ適用されているため、何もする必要はありません。
これまでのところ、実環境での悪用が確認されたという報告はありませんが、一部の研究者はMongoBleedを最近のUbisoft「Rainbow Six Siege」侵害と関連付けています。
