Vulnerabilidade permite acesso não autorizado a dados sensíveis armazenados em memória, incluindo credenciais e chaves de segurança
Uma falha grave de segurança identificada como CVE-2025-14847, apelidada de MongoBleed, está sendo ativamente explorada por atacantes e representa um risco significativo para dezenas de milhares de servidores MongoDB expostos na internet. Segundo dados da plataforma Censys, mais de 87 mil instâncias potencialmente vulneráveis foram identificadas globalmente até o final de dezembro.
A vulnerabilidade, que recebeu pontuação de gravidade 8.7, afeta múltiplas versões do MongoDB e permite que invasores acessem dados armazenados na memória do servidor sem necessidade de autenticação. Entre as informações que podem ser expostas estão credenciais de usuários, chaves de API, tokens de sessão, dados pessoais identificáveis e configurações internas do sistema.
Os Estados Unidos concentram o maior número de servidores expostos, com aproximadamente 20 mil instâncias, seguidos pela China com cerca de 17 mil e Alemanha com quase 8 mil. O Brasil também figura na lista, com pouco mais de 2 mil servidores potencialmente vulneráveis.
O problema reside na forma como o MongoDB Server processa pacotes de rede através da biblioteca zlib para compressão de dados. Pesquisadores explicam que o sistema retorna o tamanho total da memória alocada ao invés do comprimento real dos dados descomprimidos, permitindo que atacantes extraiam fragmentos de memória adjacente através de pacotes malformados.
A situação é particularmente preocupante em ambientes de nuvem. Dados da empresa de segurança Wiz revelam que 42% dos sistemas analisados utilizam versões vulneráveis do MongoDB, tornando-se alvos especialmente atrativos para invasores.
A MongoDB lançou correções de segurança em 19 de dezembro e recomenda atualização imediata para as versões seguras: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30. Como alternativa temporária, a empresa orienta que administradores desabilitem a compressão zlib e utilizem outros sistemas de compressão, como Zstandard ou Snappy.
Clientes do MongoDB Atlas, o serviço de banco de dados gerenciado em nuvem da empresa, receberam a atualização automaticamente e não precisam tomar ações adicionais. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) já adicionou a falha ao catálogo de vulnerabilidades exploradas ativamente, reforçando a urgência das medidas de correção.
Especialistas em segurança alertam que código de exploração para a vulnerabilidade está publicamente disponível desde 26 de dezembro, facilitando ataques em larga escala. Organizações que operam instâncias MongoDB autogerenciadas são orientadas a implementar medidas de mitigação imediatamente, incluindo atualização de versões, desabilitação da compressão zlib quando necessário e restrição de acesso de rede aos servidores de banco de dados.
Fonte: IT Security
