クリスマス週に概念実証(PoC)が出回った高深刻度のMongoDB Server脆弱性が、現在積極的に悪用されていると、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)が発表した。
休暇中のPTOパーティーを台無しにする、壊滅的になり得るセキュリティ脆弱性が飛び出さないと「ホリデーブレイク」とは言えないが、これはまさにその典型だ。ある専門家はこれを、MongoDBにとっての「基本的にHeartbleed」だと呼んでいる。
そう、そこまで深刻だ。
CVE-2025-14847として識別されるこのCVSS 8.7の脆弱性は、広く使われているオープンソースのMongoDB Serverに存在し、zlib圧縮されたプロトコルヘッダー内の長さフィールドの不一致に起因する。細工されたパケットで悪用されると、認証されていないリモート攻撃者が初期化されていないヒープメモリを読み取れる。OX Securityがクリスマスイブに指摘したように、これは攻撃者がユーザー情報、パスワード、APIキーなどを露出させ得ることを意味する。
「攻撃者がデータベース全体を収集するには大量のリクエスト送信が必要になる可能性があり、また一部のデータは無意味かもしれないが、攻撃者に時間があるほど、より多くの情報を収集できる」とOXは述べた。つまり――脅威監視担当がエッグノッグをあおって忙しいクリスマス休暇中のような「時間」だ。
12月26日に概念実証を公開したElastic Securityの研究者によってMongoBleedと名付けられたこの脆弱性は、実際には12月15日に特定され、その後まもなくMongoDBチームによって修正パッチが提供された。影響は幅広いMongoDB Serverのバージョンに及び、MongoDBは影響を受けるユーザーに対し、修正版リリースへ直ちにアップグレードするよう促している。
「すぐにアップグレードできない場合は、MongoDB Serverでzlib圧縮を無効化してください」とMongoDBの開発元は呼びかけた。
脆弱なバージョンを実行しているインターネット公開のMongoDB Serverは攻撃にさらされており、OXは、攻撃者がラテラルムーブメントで到達できるプライベートサーバーも、見つけ出されさえすれば格好の標的になると指摘した。
脆弱性の詳細はMongoDBのネットワーク転送層に起因し、OXによれば、ネットワークメッセージの伸長(解凍)時に小さすぎるバッファを割り当てさせたり処理させたりできるという。問題修正のためのパッチが適用される以前、MongoDBが使用していたzlibメッセージ圧縮器は、伸長データの実際の長さではなく出力長を返すように実装されていたため、伸長データの実長だけでなく、割り当てられたメモリ内にあった内容をそのまま漏えいさせるよう騙せてしまった。やれやれ。
「この種の脆弱性は悪意あるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府のエンタープライズに重大なリスクをもたらす」とCISAは、既知の悪用済み脆弱性カタログにMongoBleedを追加した月曜日の発表で述べた。
休暇明けへようこそ。予定どおり戻ってきたにせよ、サンタがプレゼント配達の準備をしていたまさにその頃にウェブ上に現れた、この積極的に悪用されている脆弱性への対応で戻ってきたにせよ。サンタが別のデータベース事業者を使っているか、すでにシステムにパッチを当てていることを願う。 ®
