يواجه متخصصو الأمن السيبراني نهاية عام 2025 بقلق متزايد إثر اكتشاف ثغرة الكشف عن المعلومات، والمعروفة بالاسم الرمزي “MongoBleed”، مما يثير مخاوف واسعة النطاق مع تسابق الباحثين ومهددي الهجمات لتجنب تداعيات مشابهة لعيوب سابقة.
تُعرف الثغرة بـ CVE-2025-14847، وهي ثغرة أمنية عالية الخطورة تؤثر على العديد من إصدارات MongoDB عند استخدام الإعدادات الافتراضية. تسمح هذه الثغرة للمهاجمين غير المصرح لهم بتسريب ذاكرة الخادم، والتي قد تحتوي على بيانات حساسة مثل بيانات الاعتماد أو رموز الوصول. وقد كشفت MongoDB عن الثغرة في 19 ديسمبر، وتصاعدت المخاوف مع إصدار دليل إثبات المفهوم العام في 26 ديسمبر.
فهم ثغرة MongoBleed وتأثيراتها
وردت تقارير من عدة شركات متخصصة في الأمن السيبراني تفيد بأن الثغرة تخضع للاستغلال النشط في البرية. وقد أضافت وكالة الأمن السيبراني والبنية التحتية (CISA) في الولايات المتحدة هذه الثغرة إلى قائمة الثغرات المعروفة التي يتم استغلالها.
تُعد MongoDB قاعدة بيانات مفتوحة المصدر منتشرة على نطاق واسع. وقد ذكر باحثون في شركة Wiz أن 42% من البيئات السحابية تحتوي على نسخة واحدة على الأقل من MongoDB معرضة لهذه الثغرة، وتشمل هذه النسخ الموارد المكشوفة للعامة والموارد الداخلية.
من جهة أخرى، كشفت مسوحات أجرتها Shadowserver عن ما يقرب من 75,000 نسخة محتملة غير مصححة من MongoDB، من بين حوالي 79,000 نسخة متاحة للعامة. فيما أشارت Censys إلى ملاحظتها لأكثر من 87,000 نسخة يحتمل أن تكون معرضة للخطر.
تشمل الدول التي تضم أعلى تركيز للنسخ المكشوفة المعرضة للخطر الصين، والولايات المتحدة، وألمانيا، وفرنسا، وهونغ كونغ، والهند، وسنغافورة.
لماذا تعتبر MongoBleed مقلقة؟
صرح بن ريد، مدير استخبارات التهديدات الاستراتيجية في Wiz، بأن الثغرة تثير القلق نظراً لحجم قاعدة التثبيت، وسهولة الاستغلال، ونقص الأدلة الجنائية المستخلصة. وأوضح أن طبيعة الثغرة كتسريب للذاكرة تعني عدم وجود برمجيات خبيثة متبقية على القرص، أو أي دليل جنائي دائم على الوصول إلى البيانات.
وأضاف ريد أن Wiz قد لاحظت محاولات استغلال و أدلة على استغلال نشط، لكنها لم تتمكن من ربط هذا النشاط الخبيث بمجموعة تهديد محددة. ويتوقع أن الثغرة تُستغل من قبل مجموعة متنوعة من الجهات الفاعلة، بناءً على سوابق تاريخية.
ومن ناحية أخرى، وعلى الرغم من أن فرق الكشف عن التهديدات في حالة تأهب قصوى، إلا أن التفاصيل الرئيسية حول الهجمات والتأثير المحتمل للاستغلال على نطاق واسع لا تزال محدودة.
التحديات في تحديد الهجمات
أشارت كيتلن كوندون، نائب رئيس الأبحاث في VulnCheck، إلى أن تفاصيل الهجمات الواقعية كانت قليلة بشكل غريب حتى الآن. وأوضحت أن الكثير من المعلومات العامة الحالية حول MongoBleed تفترض أن الاستغلال سهل نظراً لوجود دليل إثبات المفهوم، لكن المهاجم لا يزال بحاجة إلى استخلاص بيانات مفيدة من تدفق الهجوم.
ومع ذلك، فإن اهتمام المهاجمين بالثغرة المتزايدة. فاعتباراً من يوم الاثنين، تتتبع VulnCheck أكثر من عشرة أدلة إثبات مفهوم عامة، يبدو بعضها صالحاً.
تنصح MongoDB عملاءها بالترقية إلى نسخة مصححة في أقرب وقت ممكن، مشيرة إلى أن التأثير المحتمل واسع النطاق، حيث تعود الإصدارات المعرضة للخطر إلى عام 2017.
وقد يؤثر التقصير في إجازات نهاية العام على الرؤية وتأخير جهود تقييم وتتبع أدلة الاختراق.
وختمت كوندون بأن العديد من فرق الأمن من المحتمل أن تكون لديها قدرات محدودة هذا الأسبوع، مما قد يساهم في إطالة فترة ظهور تفاصيل الاستغلال وتحديد هوية الجهات الفاعلة في التهديدات.