ช่องโหว่ MongoBleed บน MongoDB ถูกโจมตีแล้ว กระทบเซิร์ฟเวอร์กว่า 87,000 แห่ง

CISA และ Australian Signals Directorate ออกคำเตือนเกี่ยวกับช่องโหว่ Critical CVE-2025-14847 หรือ “MongoBleed” บน MongoDB Server ที่กำลังถูกโจมตีอย่างแพร่หลาย โดยกำหนดให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องแพตช์ภายในวันที่ 19 มกราคม 2026

ช่องโหว่นี้เกิดจากข้อบกพร่องในการจัดการ zlib-compressed network messages ของ MongoDB Server ทำให้ระบบส่งคืน uninitialized heap memory ไปยัง client ก่อนที่จะมีการ authentication ผู้โจมตีที่สามารถเข้าถึง MongoDB port ผ่านเครือข่ายสามารถส่งคำร้องขอซ้ำๆ เพื่อรวบรวมข้อมูลจาก memory fragments ที่รั่วไหลออกมา ซึ่งอาจรวมถึง credentials, session keys และข้อมูลสำคัญอื่นๆ โดยไม่จำเป็นต้องมีการยืนยันตัวตน

จากข้อมูลของ Tenable พบว่า proof-of-concept exploit code ถูกเผยแพร่บน GitHub เมื่อวันที่ 25 ธันวาคม และภายในไม่กี่วันหลังจากนั้นก็ตรวจพบการสแกนและโจมตีแบบอัตโนมัติไปยัง MongoDB instance ที่มีช่องโหว่ การสแกนพบว่ามี MongoDB deployments ประมาณ 87,000 แห่งทั่วโลกที่เปิดรับการเชื่อมต่อจาก internet และมีความเสี่ยงถูกโจมตี โดยหลายแห่งเปิดใช้งาน zlib compression ซึ่งเป็น configuration default

MongoDB ได้ปล่อยแพตช์แก้ไขช่องโหว่นี้แล้ว แนะนำให้ผู้ดูแลระบบอัปเดตโดยด่วน สำหรับองค์กรที่ยังไม่สามารถแพตช์ได้ทันที ควรปิดการใช้งาน zlib compression และจำกัดการเข้าถึงเครือข่ายไปยัง trusted hosts เท่านั้น ทั้งนี้ MongoDB ไม่ควรถูกเปิดให้เข้าถึงได้จาก internet โดยตรง และควรมี firewall หรือ access control ป้องกันอยู่เสมอ

ที่มา: https://siliconangle.com/2025/12/29/us-australian-agencies-warn-mongobleed-vulnerability-mongodb-active-exploitation/