CVE-2025-14847 Sicherheitslücke
Eine neu entdeckte Sicherheitslücke in MongoDB wird aktiv für Angriffe ausgenutzt und gefährdet weltweit Zehntausende Datenbankinstanzen. Sicherheitsforscher haben über 87.000 potenziell anfällige MongoDB-Installationen identifiziert. Dies stellt ein erhebliches Problem für Unternehmen dar, die MongoDB in Produktionsumgebungen einsetzen.
Inhaltsverzeichnis
CVE-2025-14847 verstehen
Diese als CVE-2025-14847 erfasste und auf der CVSS-Skala mit 8,7 bewertete Sicherheitslücke mit hohem Schweregrad trägt den Codenamen MongoBleed. Sie ermöglicht es nicht authentifizierten Angreifern, sensible Daten direkt aus dem Arbeitsspeicher des MongoDB-Servers auszulesen, ohne dass gültige Anmeldeinformationen oder eine Benutzerinteraktion erforderlich sind.
Der Fehler kann bereits vor der Authentifizierung ausgenutzt werden, was das Risikoprofil erheblich erhöht, insbesondere für MongoDB-Server, die dem Internet ausgesetzt sind.
Hauptursache: Fehlerhafte zlib-Komprimierung
Die Sicherheitslücke entsteht durch einen Fehler in der zlib-basierten Nachrichtendekomprimierungslogik des MongoDB-Servers, genauer gesagt in der Komponente `message_compressor_zlib.cpp`. MongoDB aktiviert die zlib-Komprimierung standardmäßig, weshalb viele Installationen betroffen sind, sofern sie nicht explizit neu konfiguriert werden.
Durch das Senden fehlerhafter komprimierter Netzwerkpakete kann ein Angreifer eine fehlerhafte Verarbeitung der Länge dekomprimierter Daten ausnutzen. Anstatt die tatsächliche Größe des dekomprimierten Inhalts zurückzugeben, liefert die betroffene Logik die gesamte Größe des zugewiesenen Puffers. Dieser Fehler kann nicht initialisierten Heap-Speicher offenlegen und es Angreifern ermöglichen, Fragmente angrenzender sensibler Daten abzurufen.
Was Angreifer stehlen können
Eine erfolgreiche Ausnutzung kann zur Offenlegung hochsensibler, im Serverspeicher abgelegter Informationen führen, darunter Benutzerdatensätze, Passwörter und API-Schlüssel. Zwar müssen Angreifer möglicherweise eine große Anzahl von Anfragen senden, um aussagekräftige Daten zu rekonstruieren, und einige der durchgesickerten Fragmente mögen irrelevant sein, doch das Risiko steigt mit der Zeit. Je länger ein Angreifer Zugriff behält, desto mehr Daten kann er potenziell erbeuten.
Cloud-Sicherheitsexperten bestätigen, dass der Angriff weder eine Authentifizierung noch eine Benutzerinteraktion erfordert, wodurch insbesondere MongoDB-Server mit Internetanbindung angreifbar sind.
Umfang und globale Reichweite
Analysen zeigen, dass betroffene MongoDB-Instanzen weltweit verteilt sind, mit einer hohen Konzentration in den USA, China, Deutschland, Indien und Frankreich. Forscher berichten außerdem, dass 42 % der Cloud-Umgebungen mindestens eine MongoDB-Instanz enthalten, die eine von CVE-2025-14847 betroffene Version verwendet. Dies betrifft sowohl öffentlich zugängliche Systeme als auch interne Infrastrukturen.
Die genauen Techniken, die bei aktiven Ausbeutungskampagnen eingesetzt werden, sind derzeit noch unklar.
Patches, betroffene Software und weitergehende Auswirkungen
MongoDB hat Korrekturen für mehrere unterstützte Zweige veröffentlicht, und Patches wurden bereits in MongoDB Atlas eingespielt. Unternehmen sollten umgehend auf eine der folgenden sicheren Versionen aktualisieren:
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30
Es ist außerdem wichtig zu beachten, dass das Problem nicht nur MongoDB betrifft. Die Sicherheitslücke betrifft auch das Ubuntu-rsync-Paket, da dieses auf derselben zlib-Komprimierungsbibliothek basiert.
Abhilfestrategien während der Patch-Installation
In Umgebungen, in denen eine sofortige Reparatur nicht möglich ist, können verschiedene temporäre Maßnahmen die Exposition deutlich reduzieren:
- Deaktivieren Sie die zlib-Komprimierung, indem Sie mongod oder mongos mit der Option networkMessageCompressors bzw. net.compression.compressors starten, die so konfiguriert ist, dass zlib ausgeschlossen wird.
- Begrenzen Sie die Netzwerkgefährdung, indem Sie den Zugriff auf MongoDB-Server einschränken und die Protokolle sorgfältig auf verdächtige Verbindungsversuche vor der Authentifizierung überwachen.
Abschlussbewertung
MongoBleed stellt aufgrund seiner einfachen Ausnutzbarkeit, fehlender Authentifizierungsanforderungen und weit verbreiteter Verbreitung eine ernsthafte Bedrohung dar. Organisationen, die MongoDB einsetzen, sollten CVE-2025-14847 als dringende Sicherheitslücke behandeln, Patches unverzüglich installieren und unnötige Netzwerkverbindungen nach Möglichkeit eliminieren.
