MongoBleed高危漏洞遭在野利用 8萬臺MongoDB服務器暴露風險

一款影響多個MongoDB版本的高危漏洞——MongoBleed（CVE-2025-14847）正被黑客在野活躍利用，目前全球公網暴露的潛在易受攻擊服務器已超8萬臺。

該漏洞的公開利用工具及相關技術細節已被披露，攻擊者可借助此漏洞，從暴露的MongoDB服務器中遠程竊取密鑰、憑證及其他敏感數據。

該漏洞的CVSS評分達8.7分，被列為“緊急修復級別”。自12月19日起，自托管MongoDB實例的修復補丁已正式發布。

漏洞利用原理：內存數據泄露

MongoBleed漏洞的根源在于MongoDB服務器對zlib庫處理網絡數據包（用于無損數據壓縮）的邏輯缺陷。

Ox Security的研究人員解釋，該漏洞的核心問題是：MongoDB在處理網絡消息時，返回的是“分配的內存大小”，而非“解壓后的數據長度”。

攻擊者可發送構造畸形的網絡消息，謊報解壓后的數據尺寸，誘使服務器分配更大的內存緩沖區。在此過程中，服務器會將包含敏感信息的內存數據泄露給攻擊者。

通過這種方式泄露的敏感信息包括但不限于：賬號憑證、API密鑰/云服務密鑰、會話令牌、個人身份信息（PII）、內部日志、配置文件、路徑信息及客戶端相關數據。

由于網絡消息的解壓過程發生在身份認證之前，攻擊者利用MongoBleed漏洞無需提供有效的登錄憑證，攻擊門檻極低。

這款名為“MongoBleed”的公開PoC利用工具由Elastic安全研究員開發，其核心功能就是竊取內存中的敏感數據。該PoC工具有效且操作簡單：“只需獲取MongoDB實例的IP地址，就能開始挖掘內存中的數據庫密碼（明文存儲）、AWS密鑰等信息。”

MongoBleed 漏洞利用程序致敏感信息泄露

據網絡設備探測平臺Censys數據，截至12月27日，全球公網暴露的潛在易受攻擊MongoDB實例已達8.7萬臺。

在野利用現狀與檢測方案

云安全平臺Wiz的遙測數據顯示，該漏洞對云環境的影響同樣嚴重——42%的可見系統中“至少存在一個受CVE-2025-14847漏洞影響的MongoDB實例”。

這些實例既包括內部資源，也涵蓋公網暴露節點。目前已監測到MongoBleed（CVE-2025-14847）的在野利用行為，建議企業優先完成補丁更新。

另有未經證實的消息稱，部分威脅者宣稱在近期育碧《彩虹六號：圍攻》在線平臺入侵事件中，就利用了MongoBleed漏洞。

補丁更新僅為應對MongoBleed漏洞的一部分，企業還需排查是否已遭入侵。安全研究員提出一種檢測方法：重點監控“發起數千次連接，但未產生任何元數據事件的源IP地址”。

不過研究員表示，該檢測方法基于當前公開的PoC工具邏輯，攻擊者可能通過偽造客戶端元數據或降低攻擊速度等方式規避檢測。

MongoDB已針對MongoBleed漏洞發布修復公告，強烈建議管理員將服務器升級至安全版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30。

官方提示，受該漏洞影響的MongoDB版本范圍極廣：既包括2017年底發布的部分舊版本，也涵蓋2025年11月剛發布的新版本，具體如下：

·MongoDB 8.2.0 至 8.2.3

·MongoDB 8.0.0 至 8.0.16

·MongoDB 7.0.0 至 7.0.26

·MongoDB 6.0.0 至 6.0.26

·MongoDB 5.0.0 至 5.0.31

·MongoDB 4.4.0 至 4.4.29

·所有MongoDB Server v4.2版本

·所有MongoDB Server v4.0版本

·所有MongoDB Server v3.6版本

MongoDB Atlas（全托管多云數據庫服務）的用戶無需手動操作，官方已自動完成補丁更新。MongoDB表示，該漏洞暫無臨時規避方案。若暫時無法升級版本，建議用戶在服務器上禁用zlib壓縮功能，官方已提供具體操作指南。

參考及來源：https://www.bleepingcomputer.com/news/security/exploited-mongobleed-flaw-leaks-mongodb-secrets-87k-servers-exposed/