MongoBleed Now in CISA KEV After Global Exploitation Wave

MongoBleed，追踪编号为CVE-2025-14847，代表了MongoDB中一个基于zlib的网络压缩的严重未经认证的内存泄露漏洞，允许远程攻击者从暴露的服务器提取敏感的未初始化的堆内存。美国网络安全和基础设施安全局于2025年12月29日将其添加到已知被利用漏洞目录中，确认了针对超过87,000个面向互联网的实例的全球活跃利用。

漏洞详情

CVE-2025-14847影响MongoDB服务器版本4.4至8.2（在打补丁之前），前提是启用了zlib压缩。该漏洞源于在处理特制网络消息解压缩期间的长度参数处理不当。该漏洞于2025年12月18日披露，随后多家安全公司报告了迅速的野外利用。

利用模式

活跃攻击侧重于通过公开的概念验证利用程序进行机会主义的数据窃取。地理热点包括美国、中国、德国、印度和法国等地区的超过87,000个暴露服务器。威胁行为者尚未归因于特定的高级持续性威胁或勒索软件组织，自动化扫描工具驱动了这些攻击活动。受影响的行业涵盖金融、医疗保健和科技领域的云托管和自管理MongoDB，扫描环境中42%存在漏洞。

CISA KEV的影响

根据22-01号约束性操作指令，联邦机构必须在2026年1月19日前应用缓解措施，这提升了漏洞管理工作流程中的优先级。这预示着防御者和攻击者都将进行大规模扫描。

缓解与检测

缓解CVE-2025-14847需要立即将MongoDB升级到版本8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30，同时通过配置net.compression.compressors: snappy,zstd或将其禁用，并在mongod.conf中配置后重启服务来禁用zlib压缩。

网络加固措施包括：仅将端口27017/27018防火墙规则限制为受信任的IP地址、轮换任何暴露的凭据，以及监控日志中是否存在异常的身份验证前流量或可通过YARA/Suricata规则和版本扫描工具检测到的重复压缩探测。