خلل MongoBleed المستغل يسرب أسرار MongoDB، ويكشف 87 ألف خادم

يتم استغلال ثغرة أمنية خطيرة تؤثر على إصدارات متعددة من MongoDB، يطلق عليها اسم MongoBleed (CVE-2025-14847)، بشكل نشط، مع كشف أكثر من 80.000 خادم من المحتمل أن تكون معرضة للخطر على شبكة الإنترنت العامة.

يتوفر استغلال عام وتفاصيل تقنية مصاحبة، توضح كيف يمكن للمهاجمين تشغيل الخلل لاستخراج الأسرار وبيانات الاعتماد والبيانات الحساسة الأخرى عن بعد من خادم MongoDB المكشوف.

تم تحديد درجة خطورة الثغرة الأمنية بـ 8.7 وتم التعامل معها على أنها “إصلاح حاسم”، مع توفر تصحيح لمثيلات الاستضافة الذاتية منذ 19 ديسمبر.

“https://www.bleepstatic.com/c/a/as-Free-Phishing-970×250.jpg” البديل=”Wiz”>

استغلال أسرار التسريبات

تنبع ثغرة MongoBleed من كيفية تعامل خادم MongoDB مع حزم الشبكة التي تتم معالجتها بواسطة مكتبة zlib لضغط البيانات دون فقدان البيانات.

الباحثون في Ox Security”https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/#technical_analysis” الهدف=”_blank” rel=”nofollow noopener”> اشرح أن سبب المشكلة هو قيام MongoDB بإرجاع مقدار الذاكرة المخصصة عند معالجة رسائل الشبكة بدلاً من طول البيانات التي تم فك ضغطها.

يمكن أن يرسل جهة التهديد رسالة مشوهة تطالب بحجم أكبر عند فك الضغط، مما يتسبب في قيام الخادم بتخصيص مخزن مؤقت أكبر للذاكرة وتسريب البيانات الموجودة في ذاكرة العميل بمعلومات حساسة.

يمكن أن يتراوح نوع الأسرار المسربة بهذه الطريقة بين بيانات الاعتماد وواجهة برمجة التطبيقات و/أو مفاتيح السحابة والرموز المميزة للجلسة ومعلومات التعريف الشخصية (PII) والسجلات الداخلية والتكوينات والمسارات والبيانات المتعلقة بالعميل.

نظرًا لأن فك ضغط رسائل الشبكة يحدث قبل مرحلة المصادقة، فإن المهاجم الذي يستغل MongoBleed لا يحتاج إلى بيانات اعتماد صالحة.

تم إصدار الثغرة العامة على شكل إثبات للمفهوم (PoC). “MongoBleed” بواسطة باحث الأمن المرن”tooltip_parent” data-stringify-link=”https://x.com/dez_” href=”https://x.com/dez_” rel=”nofollow noopener noreferrer” الهدف=”_blank”> جو ديسيمونتم إنشاؤه خصيصًا لتسريب بيانات الذاكرة الحساسة.

الباحث الأمني ​​كيفن بومونت”https://doublepulsar.com/merry-christmas-day-have-a-mongodb-security-incident-9537f54289eb” الهدف=”_blank” rel=”nofollow noopener”> يقول أن رمز استغلال PoC صالح وأنه لا يتطلب سوى “عنوان IP لمثيل MongoDB لبدء البحث في أشياء في الذاكرة مثل كلمات مرور قاعدة البيانات (والتي هي نص عادي)، ومفاتيح AWS السرية وما إلى ذلك.”

وبحسب منصة “Censys” لاكتشاف الأجهزة المتصلة بالإنترنت، فحتى 27 ديسمبر/كانون الأول الماضي، كان هناك أكثر من”https://censys.com/advisory/cve-2025-14847″ الهدف=”_blank” rel=”nofollow noopener”> 87000 من مثيلات MongoDB التي يحتمل أن تكون معرضة للخطر مكشوفة على شبكة الإنترنت العامة.

تمت ملاحظة ما يقرب من 20000 خادم MongoDB في الولايات المتحدة، تليها الصين بحوالي 17000، وألمانيا بأقل من 8000 بقليل.

الاستغلال والكشف

ويبدو أن التأثير عبر البيئة السحابية كبير أيضًا، حيث أظهرت بيانات القياس عن بعد من منصة الأمان السحابية Wiz أن 42% من الأنظمة المرئية “تحتوي على مثيل واحد على الأقل من MongoDB في إصدار عرضة لـ CVE-2025-14847”.

لاحظ باحثو Wiz أن الحالات التي لاحظوها شملت كلا من الموارد الداخلية وتلك المكشوفة علنًا. الشركة”tooltip_parent” data-stringify-link=”https://www.wiz.io/blog/mongobleed-cve-2025-14847-exploited-in-the-wild-mongodb” href=”https://www.wiz.io/blog/mongobleed-cve-2025-14847-exploited-in-the-wild-mongodb” rel=”nofollow noopener noreferrer” الهدف=”_blank”> يقولأنها لاحظت استغلال MongoBleed (CVE-2025-14847) في البرية، وتوصي المنظمات بإعطاء الأولوية للتصحيح.

على الرغم من أنه لم يتم التحقق منها، إلا أن بعض الجهات الفاعلة في مجال التهديد تدعي أنها استخدمت ثغرة MongoBleed في الآونة الأخيرة”tooltip_parent” data-stringify-link=”https://www.bleepingcomputer.com/news/security/massive-rainbow-six-siege-breach-gives-players-billions-of-credits/” href=”https://www.bleepingcomputer.com/news/security/massive-rainbow-six-siege-breach-gives-players-billions-of-credits/” rel=”nofollow noopener noreferrer” الهدف=”_blank”>اختراق لعبة Ranbow Six Siege من شركة Ubisoftمنصة على الانترنت.

يحذر إريك كابوانو، المؤسس المشارك لـ Recon InfoSec، من أن التصحيح ليس سوى جزء من الاستجابة لمشكلة MongoBleed وينصح المؤسسات بالتحقق أيضًا من علامات التسوية.

في منشور بالمدونة أمس،”https://blog.ecapuano.com/p/hunting-mongobleed-cve-2025-14847″ الهدف=”_blank” rel=”nofollow noopener”> يوضح الباحث طريقة اكتشاف تتضمن البحث عن “عنوان IP المصدر الذي يحتوي على مئات أو آلاف الاتصالات ولكن لا توجد أحداث بيانات وصفية.”

ومع ذلك، يحذر كابوانو من أن الاكتشاف يعتمد على كود استغلال إثبات المفهوم المتوفر حاليًا وأنه يمكن للمهاجم تعديله ليشمل بيانات تعريف عميل مزيفة أو يقلل من سرعة الاستغلال.

استخدم فلوريان روث – مبتكر الماسح الضوئي THOR APT والآلاف من قواعد YARA – أبحاث كابوانو لإنشاء”https://github.com/Neo23x0/mongobleed-detector” الهدف=”_blank” rel=”nofollow noopener”> كاشف MongoBleed – أداة تقوم بتحليل سجلات MongoDB وتحدد الاستغلال المحتمل للثغرة الأمنية CVE-2025-14847.

أدوات ضغط آمنة بدون فقدان

عالجت MongoDB ثغرة MongoBleed منذ عشرة أيام، مع توصية قوية للمسؤولين بالترقية إلى إصدار آمن (8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32، أو 4.4.30).

يحذر البائع من أن قائمة كبيرة من إصدارات MongoDB تتأثر بـ MongoBleed (CVE-2025-14847)، وتم إصدار بعض الإصدارات القديمة في وقت مبكر من أواخر عام 2017، وبعضها حديث في نوفمبر 2025:

• MongoDB 8.2.0 إلى 8.2.3
• MongoDB 8.0.0 إلى 8.0.16
• MongoDB 7.0.0 إلى 7.0.26
• MongoDB 6.0.0 إلى 6.0.26
• MongoDB 5.0.0 إلى 5.0.31
• MongoDB 4.4.0 إلى 4.4.29
• جميع إصدارات MongoDB Server v4.2
• جميع إصدارات MongoDB Server v4.0
• جميع إصدارات MongoDB Server v3.6

عملاء MongoDB Atlas، خدمة قاعدة البيانات السحابية المتعددة المُدارة بالكامل،”https://www.mongodb.com/community/forums/t/important-mongodb-patch-available/332977″ الهدف=”_blank” rel=”nofollow noopener”> تلقى التصحيح تلقائيا ولا تحتاج إلى اتخاذ أي إجراء.

يقول MongoDB أنه لا يوجد حل بديل لهذه الثغرة الأمنية. إذا لم يكن الانتقال إلى إصدار جديد ممكنًا، يوصي البائع العملاء بتعطيل ضغط zlib على الخادم ويقدم إرشادات حول كيفية القيام بذلك.

تتضمن البدائل الآمنة لضغط البيانات بدون فقدان البيانات”https://github.com/facebook/zstd” الهدف=”_blank” rel=”nofollow noopener”>زستاندرد (زستد) و”https://github.com/google/snappy” الهدف=”_blank” rel=”nofollow noopener”> لاذع (المعروفة سابقًا باسم Zippy)، والتي تديرها شركة Meta وGoogle، على التوالي.