CVE-2025-14847 脆弱性
新たに公開されたMongoDBの脆弱性は、現実世界の攻撃で積極的に悪用されており、世界中で数万のデータベースインスタンスが危険にさらされています。セキュリティ研究者は、潜在的に脆弱なMongoDBのデプロイメントを87,000件以上特定しており、本番環境でMongoDBを使用している組織にとって、この問題は重大な懸念事項となっています。
目次
CVE-2025-14847 を理解する
CVE-2025-14847として追跡され、CVSSスケールで8.7と評価されているこの高深刻度の脆弱性は、コードネーム「MongoBleed」で呼ばれています。この脆弱性により、認証されていないリモート攻撃者が、有効な認証情報やユーザーによる操作を必要とせずに、MongoDBサーバーのメモリから直接機密データを漏洩することが可能になります。
この脆弱性は認証前に悪用される可能性があり、特にインターネットに公開されている MongoDB サーバーの場合、リスク プロファイルが劇的に増加します。
根本原因: zlib 圧縮の失敗
この脆弱性は、MongoDB Serverのzlibベースのメッセージ解凍ロジック、具体的にはmessage_compressor_zlib.cppコンポーネント内の欠陥に起因します。MongoDBはデフォルトでzlib圧縮を有効にするため、明示的に再設定しない限り、多くのデプロイメントが影響を受けます。
攻撃者は、不正な圧縮ネットワークパケットを送信することで、解凍されたデータ長の不適切な処理を悪用できます。影響を受けるロジックは、解凍されたコンテンツの実際のサイズを返す代わりに、割り当てられたバッファサイズ全体を返します。このミスにより、初期化されていないヒープメモリが露出し、攻撃者が隣接する機密データの断片を取得できるようになる可能性があります。
攻撃者が盗めるもの
悪用が成功すると、ユーザーレコード、パスワード、APIキーなど、サーバーメモリに保存されている機密性の高い情報が漏洩する可能性があります。攻撃者は意味のあるデータを再構築するために大量のリクエストを送信する必要があり、漏洩したデータの一部は無関係である可能性もありますが、リスクは時間の経過とともに増大します。攻撃者がアクセスを維持する期間が長ければ長いほど、より多くのデータが収集される可能性があります。
クラウド セキュリティ アナリストは、この攻撃には認証もユーザーの操作も必要なく、インターネットに接続された MongoDB サーバーが特に脆弱であることを確認しています。
範囲と世界的な露出
分析によると、影響を受けるMongoDBインスタンスは世界中に広く分散しており、特に米国、中国、ドイツ、インド、フランスに集中しています。また、研究者らは、公開されているシステムと社内インフラストラクチャの両方において、クラウド環境の42%にCVE-2025-14847の脆弱性を持つバージョンを実行するMongoDBインスタンスが少なくとも1つ含まれていると報告しています。
現時点では、活発な搾取活動で使用されている正確な手法は不明のままです。
パッチ、影響を受けるソフトウェア、そしてより広範な影響
MongoDBは複数のサポート対象ブランチに修正プログラムをリリースしており、MongoDB Atlasにも既にパッチが適用されています。組織は、以下のいずれかの安全なバージョンに直ちにアップグレードする必要があります。
MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または 4.4.30
また、この問題はMongoDBに限ったものではないことにも留意が必要です。この脆弱性は、同じzlib圧縮ライブラリに依存しているため、Ubuntuのrsyncパッケージにも影響を及ぼします。
パッチ適用時の緩和戦略
即時のパッチ適用が不可能な環境では、いくつかの一時的な緩和策によってリスクを大幅に軽減できます。
- zlib を除外するように設定された networkMessageCompressors または net.compression.compressors オプションを使用して mongod または mongos を起動し、zlib 圧縮を無効にします。
- MongoDB サーバーへのアクセスを制限し、疑わしい事前認証接続試行のログを綿密に監視することで、ネットワークの露出を制限します。
最終評価
MongoBleedは、その容易な悪用、認証要件の欠如、そして広範囲にわたる露出により、深刻な脅威となります。MongoDBを運用している組織は、CVE-2025-14847を最優先の修正項目として扱い、遅滞なくパッチを適用し、可能な限り不要なネットワーク露出を排除する必要があります。
