吳明宜MongoDB 漏洞爆發一個重大漏洞且已傳出攻擊活動,網路上有將近 9 萬台伺服器面臨風險。
發現本漏洞的 Ox Security 說明,MongoBleed 漏洞是受到 MongoDB 伺服器在處理網路訊息時,回傳已分配記憶體的量而引發。當攻擊者傳送宣告大壓縮檔的變造訊息時,MongoDB 伺服器撥出更大的記憶體緩衝,導致記憶體資料連同敏感資訊都洩露給了用戶端。
可能洩露的資料包括憑證、 API 或雲端金鑰、個人資料、內部 log 、配置、路徑和用戶端資料等。由於網路訊息的壓縮是發生在驗證階段之前,因此攻擊者不需具備有效的憑證。
本漏洞正式編號為 CVE-2025-14847,CVSS 風險值來到 8.7,被列為重大漏洞。 MongoDB 開發商已在 12 月 19 日提供給企業用戶或雲端業者。
Elastic 安全研究人員警告,已經觀察到 MongoBleed 的概念驗證 (PoC) 程式,只需要 MongoDB 執行個體的 IP 就可以開始竊取記憶體資訊,像是資料庫密碼、 AWS 金鑰等等。
根據監控網路裝置平台 Censys 的掃瞄,截至 12 月 27 日網路上還有 87,000 多台 MongoDB 執行個體。其中 20,000 台位於美國,其次是中國的 17,000 台,以及德國的 8,000 台。
雲端安全平台 Wiz 資料顯示,看到的網路系統中 42% 至少有一個執行個體執行未修補的 MongoDB 版本。這些執行個體分佈於內部及公開網路上。該公司也觀察到 MongoBleed 的濫用活動,建議用戶儘速更新。
雖然尚未獲得證實,但已濫用 MongoBleed 的駭客組織,也在日前疑似駭入知名電玩遊戲平台 Ubisoft 的《虹彩六號:圍攻行動》(Rainbow Six Siege) 。
MongoDB 在 12 月中修補了 MongoBleed 漏洞,呼籲用戶應儘速安裝最 新版本包括 8.2.3 、 8.0.17 、 7.0.28 、 6.0.27 、 5.0.32 或 4.4.30 版本。