MongoDB’nin zlib açma işleminde kritik bir kimliği doğrulanmamış bellek sızıntısı güvenlik açığı olan CVE-2025-14847 için “mongobleed” olarak adlandırılan bir kavram kanıtlama (PoC) açığı.
Yaratıcısı Joe Desimone tarafından hassas sunucu belleğini boşaltmanın bir yolu olarak adlandırılan bu kusur, saldırganların kimlik bilgileri olmadan başlatılmamış verileri uzaktan çıkarmasına ve potansiyel olarak dahili günlükleri, sistem istatistiklerini ve daha fazlasını açığa çıkarmasına olanak tanıyor.
Güvenlik açığı, MongoDB’nin sıkıştırılmış mesajları işlemesindeki bir kusurdan kaynaklanıyor. Saldırganlar şişirilmiş bir “sıkıştırılmamışBoyut” olduğunu iddia eden özel hazırlanmış bir mesaj gönderir. MongoDB bu iddiaya dayanarak büyük bir arabellek ayırır, ancak zlib yalnızca gerçek verileri arabelleğin başlangıcına açar.
Sunucunun tüm arabelleği geçerli olarak ele alması, BSON ayrıştırmasının başlatılmamış belleği boş baytlarla karşılaşıncaya kadar alan adları olarak yorumlamasına yol açar. Saldırganlar, farklı uzaklıkları araştırarak sistematik olarak bellek parçalarını sızdırabilir.
Desimone, GitHub deposunda şöyle açıkladı: “Mongobleed, değişen uzunluktaki alanlara sahip hatalı biçimlendirilmiş BSON belgeleri oluşturarak bellek bölgelerini sistematik olarak tarıyor.” Her araştırma, MongoDB WiredTiger yapılandırmaları, /proc/meminfo istatistikleri, Docker yolları, bağlantı UUID’leri ve istemci IP’leri gibi parçaları ortaya çıkarır.
Etkilenen sürümler birden fazla şubeye yayılıyor:
| Sürüm Şubesi | Etkilenen Aralık | Sabit |
|---|---|---|
| 8.2.x | 8.2.0 – 8.2.2 | 8.2.3 |
| 8.0.x | 8.0.0 – 8.0.16 | 8.0.17 |
| 7.0.x | 7.0.0 – 7.0.27 | 7.0.28 |
| 6.0.x | 6.0.0 – 6.0.26 | 6.0.27 |
| 5.0.x | 5.0.0 – 5.0.31 | 5.0.32 |
Python tabanlı aracın dağıtımı kolaydır. Temel kullanım taramaları 20-8192 ofsetlerini oluşturur: python3 mongobleed.py –ana bilgisayar
Örnek çıktı, “MemAvailable: 8554792 kB” gibi sistem ölçümlerini ve “SyncookiesFailed EmbryonicRsts” gibi ağ istatistiklerini gösterir.
Desimone, savunmasız örnekleri test etmek için bir Docker Compose kurulumu içeriyordu ve bu da çoğaltma kolaylığının altını çiziyordu. Demolarda sızdırılan verilerin toplamı 42 parçada 8.700 baytın üzerindeydi.
MongoDB, arabellek işlemeden önce sıkıştırılmış uzunlukları doğrulayarak yukarı akış taahhütlerinde sorunu düzeltti. OX Security ilk olarak kusuru açıkladı ve bulut ve konteynerli dağıtımlardaki sızıntı risklerine ilişkin uyarıda bulundu.
Web uygulamalarında, analizlerde ve NoSQL yığınlarında yaygın olarak görülen, açıkta kalan MongoDB örneklerini çalıştıran kuruluşlar acil yama baskısıyla karşı karşıyadır. Kimliği doğrulanmamış erişimi devre dışı bırakın ve 27017 numaralı bağlantı noktasındaki anormal taramaları izleyin.
X’te @dez_ _ olarak bilinen Desimone, farkındalığı hızlandırmak için repoyu yayınladı. Bellek sızıntıları bu şekilde çoğaldıkça, veritabanı güvenliğinde yükselen bir vektör olarak sıkıştırmayı açma hatalarını öne çıkarıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
