CISA警报：MongoBleed加入KEV目录，80，000多台服务器面临主动攻击

网络安全和基础设施安全局（CISA）已正式对MongoDB中的一个高危漏洞拉响警报，并将此缺陷添加到其已知被利用漏洞（KEV）目录中。此举证实了黑客正在积极利用这个被称为“MongoBleed”的漏洞，从全球服务器窃取敏感数据。

该漏洞编号为CVE-2025-14847，严重程度评分为8.7分，影响了从旧版本安装到现代版本的巨大范围的MongoDB服务器。

CISA的介入是在收到广泛滥用的报告之后。该机构警告称，“此类漏洞是恶意网络行为者的常见攻击媒介，对联邦企业构成重大风险”。

此漏洞非常严重。它源于数据库使用的zlib压缩库中存在“长度参数不一致处理不当”的问题。

Ox Security的安全研究人员阐明了此漏洞利用的复杂机制：该漏洞源于MongoDB在处理网络通信时，倾向于返回分配的内存容量，而不是解压数据的实际大小。这种结构上的不一致使恶意行为者能够发送“一个声明夸大解压大小的畸形消息”，从而欺骗服务器预留一个巨大的内存缓冲区。随后，服务器会无意中将这个未初始化内存的内容泄露回给攻击者。

通过利用此漏洞，攻击者能够从暴露的MongoDB实例远程获取密钥、凭证和其他机密数据，在无需身份验证的情况下实现完全提取。

根据致力于发现互联网连接资产的平台Censys的数据，截至12月27日，有超过87，000个可能易受攻击的MongoDB实例暴露在公共互联网上。

这些被攻陷服务器的地理分布尤为集中：美国有近20，000个实例，紧随其后的是中国，约有17，000个，而德国则有近8，000个暴露服务器，同样数量显著。

受影响的版本列表非常广泛，覆盖了多年的发布：

• MongoDB 8.2.0 至 8.2.3
• MongoDB 8.0.0 至 8.0.16
• MongoDB 7.0.0 至 7.0.26
• MongoDB 6.0.0 至 6.0.26
• MongoDB 5.0.0 至 5.0.31
• MongoDB 4.4.0 至 4.4.29
• 所有版本的4.2、4.0和3.6。

MongoDB已于10天前修复此漏洞，并敦促所有管理员立即升级到“安全版本”。已打补丁的版本为：

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30。

幸运的是，使用MongoDB Atlas（该公司完全托管的多云服务）的客户已自动收到补丁，无需采取任何行动。

对于那些无法立即修补其自托管实例的用户，有一个权宜之计：在服务器上禁用zlib压缩。供应商建议切换到安全的无损数据压缩替代方案，例如Zstandard（zstd）或Snappy。

相关文章：

• PoC 发布：MongoBleed漏洞利用允许未经身份验证的攻击者耗尽MongoDB内存
• 高危未认证MongoDB漏洞通过zlib压缩泄露敏感数据
• MongoDB修补多个产品中的高危Windows漏洞（CVE-2024-7553）
• 数据泄露警报：MongoDB客户遭遇攻击，日志被访问
• MongoDB补丁：解决了DoS与绕过风险