تم الكشف مؤخراً عن ثغرة أمنية خطيرة في نظام قواعد بيانات MongoDB، وهي الآن قيد الاستغلال النشط في البيئات الرقمية.
يقدر عدد الأنظمة المتأثرة بهذه الثغرة، والتي تحمل المعرف CVE-2025-14847، بأكثر من 87,000 نظام حول العالم.
ثغرة أمنية خطيرة تستهدف MongoDB
تسمح هذه الثغرة الأمنية، التي أطلق عليها اسم “MongoBleed”، للمهاجمين غير المصرح لهم بالوصول إلى بيانات حساسة من ذاكرة خادم MongoDB عن بعد.
وتعود جذور المشكلة إلى طريقة معالجة ضغط الرسائل باستخدام مكتبة zlib في خادم MongoDB. يؤثر هذا الخلل على الأنظمة التي تم تفعيل ضغط zlib فيها، وهو الإعداد الافتراضي.
ووفقاً لشركة OX Security، فإن إرسال حزم بيانات شبكة مشوهة يمكن أن يؤدي إلى تسرب أجزاء من البيانات الخاصة.
آلية عمل الثغرة
تتمثل الآلية في عيب بمنطق فك ضغط رسائل الشبكة المستند إلى zlib، مما يسمح للمهاجم بإرسال حزم مضغوطة بشكل خاص لتشغيل الثغرة. هذا يتيح الوصول إلى مناطق في الذاكرة غير مفحوصة دون الحاجة إلى مصادقة أو تفاعل من المستخدم.
وقد أشار الباحثون الأمنيون إلى أن العيب يؤدي إلى إعادة حجم المخزن المؤقت المخصص (output.length()) بدلاً من طول البيانات الفعلي بعد فك الضغط. هذا يسمح للحمولات الصغيرة أو المشوهة بكشف ذاكرة Heap المجاورة.
ونتيجة لذلك، فإن خوادم MongoDB المكشوفة على الإنترنت معرضة بشكل خاص للخطر.
تأثير وانتشار ثغرة MongoDB
تُظهر البيانات الصادرة عن شركة Censys لإدارة أسطح الهجوم أن غالبية الأنظمة المعرضة للخطر تقع في الولايات المتحدة والصين وألمانيا والهند وفرنسا.
وأشارت شركة Wiz للأمن السيبراني السحابي إلى أن 42% من البيئات السحابية تحتوي على نسخة واحدة على الأقل من MongoDB معرضة لهذه الثغرة، وتشمل هذه النسبة الموارد المكشوفة للإنترنت والموارد الداخلية.
وفي حين أن التفاصيل الدقيقة لطبيعة الهجمات التي تستغل هذه الثغرة لا تزال غير معروفة، فإن الشركات والمؤسسات مدعوة بشكل عاجل لاتخاذ الإجراءات اللازمة.
التوصيات والإجراءات الوقائية
ينصح بشدة بتحديث أنظمة MongoDB إلى الإصدارات 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32، و4.4.30. وقد تم بالفعل تطبيق التحديثات اللازمة على MongoDB Atlas.
تجدر الإشارة إلى أن الثغرة تؤثر أيضاً على حزمة rsync الخاصة بنظام Ubuntu، نظراً لاعتمادها على مكتبة zlib.
كحلول مؤقتة، يوصى بتعطيل ضغط zlib على خادم MongoDB. يمكن تحقيق ذلك عن طريق تشغيل mongod أو mongos مع خيار networkMessageCompressors أو net.compression.compressors يستثني zlib صراحة.
تشمل التدابير الوقائية الأخرى تقييد التعرض الشبكي لخوادم MongoDB، ومراقبة سجلات الخادم بحثاً عن أي اتصالات مشبوهة قبل المصادقة.