Een onlangs onthuld beveiligingsprobleem in MongoDB wordt in het wild actief uitgebuit, waarbij wereldwijd meer dan 87.000 potentieel gevoelige exemplaren zijn geïdentificeerd.
De kwetsbaarheid in kwestie is CVE-2025-14847 (CVSS-score: 8,7), waarmee een niet-geverifieerde aanvaller op afstand gevoelige gegevens uit het MongoDB-servergeheugen kan lekken. Het heeft de codenaam MongoBleed gekregen.
“Door een fout in de zlib-compressie kunnen aanvallers informatielekken veroorzaken”, aldus OX Security. “Door verkeerd opgemaakte netwerkpakketten te verzenden, kan een aanvaller fragmenten van privégegevens extraheren.”
Het probleem vindt zijn oorsprong in de zlib-berichtdecompressie-implementatie van MongoDB Server (“message_compressor_zlib.cpp”). Het beïnvloedt exemplaren waarbij zlib-compressie is ingeschakeld, wat de standaardconfiguratie is. Succesvol misbruik van de tekortkoming zou een aanvaller in staat kunnen stellen gevoelige informatie van MongoDB-servers te extraheren, waaronder gebruikersinformatie, wachtwoorden en API-sleutels.
“Hoewel de aanvaller misschien een groot aantal verzoeken moet sturen om de volledige database te verzamelen, en sommige gegevens misschien zinloos zijn, kan hoe meer tijd een aanvaller heeft, hoe meer informatie er kan worden verzameld”, aldus OX Security.
Cloudbeveiligingsbedrijf Wiz zegt dat CVE-2025-14847 voortkomt uit een fout in de op zlib gebaseerde decompressielogica van netwerkberichten, waardoor een niet-geverifieerde aanvaller verkeerd opgemaakte, gecomprimeerde netwerkpakketten kan verzenden om de kwetsbaarheid te activeren en toegang te krijgen tot niet-geïnitialiseerd heap-geheugen zonder geldige inloggegevens of gebruikersinteractie.
“De getroffen logica retourneerde de toegewezen buffergrootte (output.length()) in plaats van de daadwerkelijke gedecomprimeerde datalengte, waardoor ondermaatse of verkeerd ingedeelde payloads aangrenzend heap-geheugen bloot konden leggen”, aldus beveiligingsonderzoekers Merav Bar en Amitai Cohen. “Omdat de kwetsbaarheid vóór authenticatie bereikbaar is en geen gebruikersinteractie vereist, lopen MongoDB-servers die blootgesteld zijn aan internet een bijzonder risico.”
Uit gegevens van Censys, een bedrijf voor aanvalsoppervlaktebeheer, blijkt dat er meer dan 87.000 potentieel kwetsbare instanties zijn, waarvan het merendeel zich in de VS, China, Duitsland, India en Frankrijk bevindt. Wiz merkte op dat 42% van de cloudomgevingen ten minste één exemplaar van MongoDB heeft in een versie die kwetsbaar is voor CVE-2025-14847. Dit omvat zowel aan het internet blootgestelde als interne bronnen.
De exacte details rond de aard van de aanvallen waarbij gebruik wordt gemaakt van de fout zijn momenteel onbekend. Gebruikers wordt geadviseerd om te updaten naar MongoDB-versies 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 en 4.4.30. Patches voor MongoDB Atlas zijn toegepast. Het is vermeldenswaard dat de kwetsbaarheid ook het Ubuntu rsync-pakket treft, omdat het zlib gebruikt.
Als tijdelijke oplossing wordt aanbevolen om zlib-compressie op de MongoDB-server uit te schakelen door mongod of mongos te starten met een networkMessageCompressors- of een net.compression.compressors-optie die zlib expliciet weglaat. Andere oplossingen zijn onder meer het beperken van de netwerkblootstelling van MongoDB-servers en het monitoren van MongoDB-logboeken op afwijkende pre-authenticatieverbindingen.
