米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、攻撃で積極的に悪用されている高深刻度のMongoDBの脆弱性からシステムを保護するよう、政府機関に命じました。
MongoBleedと呼ばれ、CVE-2025-14847として追跡されているこの脆弱性は、2025年12月19日に修正されました。原因は、MongoDB Serverがデータ圧縮のためにzlibライブラリを用いてネットワークパケットを処理する方法にあります。
悪用に成功すると、認証されていない脅威アクターが、ユーザー操作を必要としない低難度の攻撃により、認証情報やその他の機微なデータ(APIキーおよび/またはクラウドキー、セッショントークン、内部ログ、個人を特定できる情報(PII)など)をリモートで窃取できるようになります。
Elasticのセキュリティ研究者であるJoe Desimone氏は、未修正のホストを標的にした際に機微なメモリデータが漏えいする概念実証(PoC)エクスプロイトも公開しています。
月曜日、インターネットセキュリティ監視団体のShadowserverは、インターネットに露出している、潜在的に脆弱なMongoDBインスタンスが74,000件超あることを発見しました。Censysも、未修正の可能性があるMongoDBバージョンを実行しているとフィンガープリントされた87,000超のIPアドレスを追跡しています。
週末にこの脆弱性を実環境で悪用されていると位置付けたクラウドセキュリティプラットフォームWizのテレメトリデータによると、クラウド環境全体への影響は大きいようで、可視化できたシステムの42%が「CVE-2025-14847の影響を受けるバージョンのMongoDBインスタンスを少なくとも1つ有している」とされています。
CISAは今回、Wizの報告を確認し、攻撃で悪用されている脆弱性の一覧にMongoBleedのセキュリティ欠陥を追加しました。さらに、連邦文民行政機関(FCEB)に対し、2026年1月19日までの3週間以内にシステムへパッチを適用するよう命じています。
FCEB機関とは、国土安全保障省、財務省、エネルギー省、保健福祉省などを含む、米国の行政府に属する非軍事の機関です。
「この種の脆弱性は、悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦全体に重大なリスクをもたらします」とCISAは警告しました。「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は当該製品の使用を中止してください。」
システムを保護するためのセキュリティパッチを直ちに適用できないネットワーク防御担当者には、サーバー上でzlib圧縮を無効化することが推奨されています。
MongoDBのログを解析し、CVE-2025-14847の悪用の可能性を特定するMongoBleed Detectorも、ネットワーク内の脆弱なサーバーを特定したい管理者向けに提供されています。
MongoDBは非常に人気の高い非リレーショナル(NoSQL)データベース管理システム(DBMS)で、世界中の62,500を超える組織(フォーチュン500企業の数十社を含む)で利用されています。
