哈喽,大家好,今天小墨这篇评论,主要来分析MongoDB数据库爆出的MongoBleed漏洞,以及全球数万台服务器面临的安全威胁。
MongoDB最近修补了编号为CVE-2025-14847的漏洞,这个漏洞影响多个MongoDB服务器版本。未认证的攻击者可以以较低的复杂度远程利用这个漏洞,可能导致敏感数据和凭证的外泄。
这个漏洞被称为MongoBleed,名字来源于臭名昭著的Heartbleed漏洞,CVSS得分为8.7。MongoDB公司声明,托管在MongoDB Atlas上的实例已经打了补丁,自托管的MongoDB如果不更新仍然存在风险。
MongoBleed源于MongoDB服务器基于zlib的网络消息解压缩逻辑中的一个缺陷,这个逻辑在认证之前就被处理了。通过发送畸形的压缩网络数据包,攻击者可以触发服务器错误处理解压缩的消息长度,导致返回给客户端的是未初始化的堆内存。
根据Wiz公司的数据,42%的云环境中至少有一个易受攻击的MongoDB实例,包括公开暴露和内部资源。Censys平台报告称全球大约有8.7万台服务器存在潜在风险。由于该漏洞可以在没有认证或用户交互的情况下被利用,暴露在互联网上的数据库服务器面临特别高的风险。
根据Censys平台的统计,截至12月27日,美国有近2万台MongoDB服务器暴露在公网上,中国以近1.7万台排第二,德国接近8000台。这个分布说明MongoDB在全球范围内被广泛使用,各国都面临相当程度的风险敞口。
12月26日,公开的概念验证代码已经可以获取,安全研究人员在披露后不久就报告了野外利用的情况。12月29日,美国网络安全和基础设施安全局已将CVE-2025-14847添加到已知被利用漏洞目录中,确认存在主动利用。
MongoDB存储的通常是敏感应用和业务数据,包括个人信息、认证令牌和内部服务详细信息。配置不当或暴露的MongoDB实例可以被远程访问,成为攻击者的理想目标。像MongoBleed这样的严重漏洞可以在不需要认证的情况下泄露未初始化的内存,可能将敏感数据暴露给攻击者。
MongoDB在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中引入了补丁,升级到这些版本可以完全修复漏洞。在应用补丁之前,可以通过分段大幅降低暴露风险:阻止从互联网访问MongoDB实例的TCP 27017端口,只允许明确信任的来源连接。
这个漏洞影响了自2017年以来发布的所有MongoDB版本。有软件开发人员评论说,MongoBleed突出了即使是成熟的数据库,当暴露或未打补丁时,也可能成为关键的攻击面。预认证内存泄露、主动漏洞攻击和8.7万以上暴露实例,提醒我们数据库安全就是基础设施安全。
MongoDB补丁版本现在可用于从4.4到8.0的所有支持版本。像Percona Server for MongoDB这样的分支也受到上游漏洞的影响。组织应该立即应用安全补丁,或禁用压缩并限制网络暴露,确保数据库安全得到有效保障。
热门跟贴