MongoDB 嚴重漏洞「MongoBleed」正被駭客利用
漏洞概述
2025 年 12 月 29 日,安全研究人員發現了一個高嚴重性的 MongoDB 漏洞「MongoBleed」,編號 CVE-2025-14847。這個漏洞允許未經認證的遠端攻擊者從伺服器洩漏敏感資訊。該漏洞位於基於 zlib 的網路訊息解壓縮邏輯中,並於證明概念(PoC)及技術細節公開後數日即被利用。
漏洞的技術細節
根據 Wiz 的威脅情報研究人員,該漏洞的核心問題在於,MongoDB 的網路訊息在解壓縮邏輯處理時,發生在需要認證之前。攻擊者可以發送格式錯誤的壓縮網路數據包,觸發服務器錯誤處理解壓後的訊息長度,導致未初始化的堆記憶體被返回給客戶端。這使得攻擊者能在不需要有效憑證或用戶互動的情況下,遠程洩漏伺服器的敏感記憶體數據。
潛在影響
Ox Security 的研究人員指出,任何公開暴露的 MongoDB 端口的伺服器,或是攻擊者能夠橫向移動到的私人伺服器,都可能受到影響。攻擊者可以利用此漏洞提取用戶信息、密碼、API 密鑰等敏感信息。雖然需要大量請求才能獲得完整數據,但時間越長,攻擊者能獲得的信息就越多。
修補措施
MongoDB 在 12 月 19 日發布了針對該漏洞的修補程式,影響的版本包括從 v3.6 到 v8.2.2 的多個版本。MongoDB 建議各組織立即應用此修補程式,或在無法更新的情況下,禁用 MongoDB 伺服器上的 zlib 壓縮功能。使用 MongoDB Atlas 的用戶因自動應用修補程式而受到保護。
技術細節發布及其影響
技術細節由 Ox Security 發布後不久,Elastic Security 的研究人員 Joe Desimone 在 GitHub 上發布了一個 PoC 攻擊工具。安全研究人員 Kevin Beaumont 批評這一行為,指出這降低了漏洞利用的門檻,可能會導致廣泛的利用和相關安全事件。
進一步的影響與分析
Wiz 的研究人員指出,此漏洞在代碼層面上是由於 message_compressor_zlib.cpp 中不正確的長度處理所致。此問題亦影響到 Ubuntu 的 rsync 套件,因其亦使用 zlib,但目前尚未有 rsync 的利用細節被公開。
對於使用 MongoDB 或其他受影響服務的組織,北斗數位提供的抗攻擊主機服務可以為您提供專業的 DDoS 防禦和高可用性保障,詳細資訊請參考 北斗數位的抗攻擊主機。