Nguy hiểm: Lỗ hổng MongoDB nghiêm trọng gây rò rỉ dữ liệu

Một lỗ hổng MongoDB nghiêm trọng, không yêu cầu xác thực, cho phép rò rỉ thông tin, được đặt tên là MongoBleed (theo tên lỗi Heartbleed), hiện đang bị khai thác tích cực trong các cuộc tấn công thực tế.

MongoDB đã công bố CVE-2025-14847, một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều phiên bản máy chủ được hỗ trợ và cũ hơn.

Lỗ hổng này cho phép kẻ tấn công từ xa không cần xác thực trích xuất dữ liệu nhạy cảm và thông tin xác thực từ các phiên bản dễ bị tổn thương.

Tổng Quan Về Lỗ Hổng MongoDB MongoBleed (CVE-2025-14847)

Lỗ hổng MongoBleed, định danh là CVE-2025-14847, được phân loại là nghiêm trọng cao (high-severity).

Điểm đáng chú ý của lỗ hổng này là khả năng khai thác mà không cần bất kỳ hình thức xác thực nào.

Kẻ tấn công có thể thực hiện việc trích xuất thông tin nhạy cảm và thông tin xác thực từ máy chủ MongoDB dễ bị tổn thương.

Để biết thêm chi tiết về CVE nghiêm trọng này, bạn có thể tham khảo tại NVD NIST.

Cơ Chế Kỹ Thuật Của MongoBleed

Lỗi MongoBleed bắt nguồn từ việc xử lý không đúng các trường độ dài trong logic giải nén tin nhắn mạng dựa trên zlib của MongoDB Server.

Quá trình này diễn ra trước các bước kiểm tra xác thực.

Bằng cách tạo các gói tin mạng bị nén bị lỗi (malformed), kẻ tấn công không cần xác thực có thể khiến máy chủ xử lý sai độ dài của tin nhắn đã giải nén.

Điều này dẫn đến việc máy chủ trả về các phân đoạn bộ nhớ heap chưa được khởi tạo (uninitialized heap memory fragments) trực tiếp cho máy khách.

Nguồn Gốc Của Lỗ Hổng

Nguyên nhân gốc rễ nằm trong tệp message_compressor_zlib.cpp.

Trong mã nguồn này, mã lỗi đã trả về kích thước buffer được cấp phát thay vì độ dài dữ liệu thực tế đã giải nén.

Lỗ hổng này tương tự như một dạng lỗi buffer overflow, tương tự như lỗi Heartbleed nổi tiếng.

Nó cho phép các payload có kích thước nhỏ hơn hoặc bị lỗi làm lộ bộ nhớ heap lân cận chứa thông tin nhạy cảm.

Phạm Vi Ảnh Hưởng và Mối Đe Dọa Mạng

Vì lỗ hổng có thể tiếp cận được trước khi xác thực và không yêu cầu tương tác người dùng, các máy chủ MongoDB được phơi bày ra Internet phải đối mặt với nguy cơ khai thác ngay lập tức.

Theo báo cáo của Censys, có khoảng 87.000 phiên bản có khả năng bị tổn thương hiện đang được phơi bày trên toàn thế giới.

Nghiên cứu của Wiz chỉ ra rằng 42% các môi trường đám mây lưu trữ ít nhất một phiên bản MongoDB dễ bị tổn thương.

Điều này cho thấy nguy cơ rò rỉ dữ liệu là rất lớn trên diện rộng.

Các Phiên Bản MongoDB Bị Ảnh Hưởng

MongoBleed ảnh hưởng đến một loạt các phiên bản MongoDB Server trên toàn bộ dòng sản phẩm được hỗ trợ và cũ hơn.

Cụ thể, lỗ hổng này tác động đến:

• Tất cả các phiên bản được hỗ trợ của MongoDB Server.
• Các phiên bản MongoDB Server cũ hơn nhưng vẫn còn được sử dụng.

Lỗ hổng này cũng ảnh hưởng đến một số gói phân phối Linux của rsync có sử dụng zlib.

Tuy nhiên, chi tiết khai thác cho rsync vẫn chưa được xác định rõ tại thời điểm công bố thông tin này.

Khai Thác Lỗ Hổng Thực Tế và Biện Pháp Phát Hiện

Một mã khai thác (exploit) hoạt động đã được công bố rộng rãi vào ngày 26 tháng 12 năm 2025.

Ngay sau đó, các báo cáo về việc khai thác thực tế trong các cuộc tấn công đã được xác nhận.

Sự chuyển đổi nhanh chóng từ mã PoC (Proof of Concept) sang khai thác tích cực nhấn mạnh mức độ nghiêm trọng và khả năng khai thác cao của lỗ hổng MongoDB này.

Các tác nhân đe dọa đã nhanh chóng tận dụng lỗ hổng để nhắm mục tiêu vào các triển khai MongoDB hướng Internet, bao gồm cả môi trường đám mây và tại chỗ.

Công Cụ Phát Hiện MongoBleed

Để hỗ trợ các tổ chức xác định việc khai thác CVE-2025-14847, công cụ MongoBleed Detector đã được phát hành.

Công cụ này có sẵn trên GitHub: MongoBleed Detector GitHub.

Khuyến Nghị Giảm Thiểu và Cập Nhật Bản Vá

Các tổ chức nên ưu tiên hàng đầu việc cập nhật bản vá bảo mật cho lỗ hổng MongoDB này càng sớm càng tốt.

Sau khi vá lỗi, cần triển khai thêm các lớp kiểm soát bảo mật khác.

Các biện pháp bổ sung bao gồm:

• Kiểm soát cấu hình: Đảm bảo cấu hình MongoDB an toàn, tuân thủ các nguyên tắc bảo mật tốt nhất.
• Kiểm soát mạng: Hạn chế quyền truy cập mạng vào các phiên bản MongoDB, sử dụng tường lửa và segment mạng.
• Kiểm soát giám sát: Triển khai giám sát liên tục để phát hiện bất kỳ dấu hiệu lạm dụng hoặc khai thác nào.

Việc kết hợp nhiều lớp bảo mật sẽ giúp giảm thiểu rủi ro phơi nhiễm và phát hiện các hành vi tấn công đối với lỗ hổng MongoDB nghiêm trọng này.