重大な「MongoBleed」バグが攻撃に悪用中、今すぐパッチを適用

出典：Shutterstock提供 Profit_Image

攻撃者はMongoDBの重大な脆弱性を積極的に悪用し、影響を受けたサーバーのメモリから機密情報を直接盗み出しています。

攻撃は12月29日に始まったとみられ、脆弱性の概念実証（PoC）エクスプロイトコードが一般公開されてからわずか3日後でした。

「CVE-2025-14847」として識別され、「MongoBleed」と名付けられたこのセキュリティ欠陥により、リモート攻撃者は認証なしでサーバーメモリから平文の認証情報、認証トークン、機密性の高い顧客データを抽出できます。PoCを検証したRapid7は、これが完全に機能し信頼性も高いことを確認しており、自己管理型のMongoDBインスタンスを運用する組織にとって深刻な脅威となっています。

MongoBleedのセキュリティ脅威

Rapid7は今週のレポートで、影響を受ける組織に対し、通常のパッチサイクルを待つのではなく直ちに脆弱性を修正するよう促しました。Rapid7によれば、「漏えいの性質を踏まえると、単にパッチを適用するだけでは不十分であり、修正前に露出した可能性のあるすべてのデータベースおよびアプリケーションの認証情報もローテーションすることが推奨されます」としています。

MongoDB Inc.はこのセキュリティ問題を12月19日に初めて開示しました。1週間以内の12月26日には機能するエクスプロイトコードがオンラインで公開され、さらにその3日後には米国サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）が実環境での悪用を確認しました。MongoDBはこの脆弱性にCVSS深刻度スコア10点中8.7を付与していますが、Rapid7は影響を受ける組織にとっての結果は「重大」だと警告しました。

具体的には、MongoBleedはネットワークメッセージにZlib圧縮アルゴリズムを使用するよう設定されたMongoDBサーバーにおけるメモリリークを悪用します。Rapid7によれば、これは多くの本番環境で一般的な設定です。攻撃者はZlib圧縮を用いた細工済みのネットワークパケットを使ってMongoDBサーバーをだまし、メモリ内容を漏えいさせることができます。これがMongoBleedという名称の由来です。

この脆弱性が特に危険なのは、認証が不要である点です。リモートの攻撃者は、有効な認証情報や特別な権限を必要とせず、ネットワーク越しにこの欠陥へアクセスできます。漏えいしたメモリには、パスワード、APIキー、他の同時実行中のデータベースセッションのデータなど、高価値の秘密情報が含まれる可能性があります。

唯一の緩和要因は、CVE-2025-14847で攻撃者が盗めるのが未初期化のヒープメモリ、つまり過去の情報が適切に消去されていないサーバーRAMの一部に限られることです。その結果、MongoBleedを通じてサーバーメモリ内の特定データを狙い撃ちする攻撃は不可能です。Rapid7は「[攻撃者は]代わりに、繰り返しの悪用試行と偶然に頼って機密情報を捉えなければならない」と述べています。

MongoDBデータ窃取のための新たな悪用ツール

Rapid7 Labsは、脆弱なMongoDBサーバーを攻撃するための技術的ハードルを大幅に下げる新しい悪用ツールを特定したと述べました。このツールにはグラフィカルユーザーインターフェースが備わっており、熟練度の低い脅威アクターでも、影響を受けたサーバーから1回のバッチで10MBのメモリを自動抽出したり、ライブのビジュアルフィードでデータ抽出プロセスを監視したりできるため、複雑なコマンドライン操作やコーディングの専門知識が不要になります。 

CVE-2025-14847は、4.4、5.0、6.0、7.0、8.0系統を含む幅広いMongoDBバージョンに影響します。MongoDBは、影響を受ける組織に対し、8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30へアップグレードするよう求めています。 

MongoDBはアドバイザリで次のように述べています。「すぐにアップグレードできない場合は、networkMessageCompressorsまたはnet.compression.compressorsオプションでZlibを明示的に除外して、mongodまたはmongosを起動し、MongoDBサーバー上のzlib圧縮を無効化してください」。「安全な値の例としては、snappy,zstdまたはdisabledが挙げられます」。

MongoBleed攻撃の出現は、パッチ管理が企業防御の要であり続けることを示すとともに、脆弱性開示から実際の悪用までの期間がますます短縮されていることを浮き彫りにしています。Vectra.aiによる2025年の分析（および他の多数のベンダーによる同様の調査）では、新たに開示された脆弱性が悪用されるまでの平均時間は、2018～2019年の平均63日から、2024年にはわずか5日へと短縮されたことが示されています。Vectra.aiはまた、現在では全脆弱性の28%以上が開示から24時間以内に悪用されていることも明らかにしました。さらに、エクスプロイト開発におけるAI利用の拡大は、これらの時間をさらに短縮し得るため、セキュリティチームには迅速な対応が一層求められます。