MongoBleed: CISA ordina alle agenzie federali di patchare la vulnerabilità CVE-2025-14847
La vulnerabilità MongoBleed (CVE-2025-14847) consente a threat actor non autenticati di rubare dati sensibili da server MongoDB. Oltre 87.000 istanze sono espo…
Contenuto
Scopri anche
- Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
- Aggiornamento di febbraio 2026 per Windows 11: nuove funzionalità e miglioramenti
- Arc Raiders: la patch 1.12.0 contrasta gli exploit su Stella Montis
- Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
- Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
- Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
- Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
- Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
- Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
- Aggiornamento sicurezza Samsung gennaio 2026: 55 correzioni per Galaxy S25 e pieghevoli
- Nuova vulnerabilità zero-day in MOVEit Transfer: a rischio dati sensibili di aziende
- Avatar Frontiers of Pandora Update 2.0: Terza Persona e Nuove Opzioni di Performance
- Aggiornamento di sicurezza Samsung gennaio 2026: 55 correzioni per i dispositivi Galaxy
- Vulnerabilità critiche in Veeam Backup: aggiornamenti di sicurezza per prevenire RCE e attacchi ransomware
- CVE-2025-68613: Vulnerabilità Critica RCE nella Piattaforma n8n
- Fine del supporto per 19 smartphone Xiaomi, Redmi e POCO nel 2026
- One UI 8.5 Beta 3 per Galaxy S25: correzioni e patch di sicurezza gennaio 2026
- Vulnerabilità critiche nei firewall Fortinet e Palo Alto: oltre 10.000 dispositivi esposti
- iOS 26.2: Patch Urgente Apple per Due Zero-Day in WebKit
- Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit
MongoBleed: CISA ordina patch urgente per vulnerabilità MongoDB sfruttata attivamente
La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha emesso un ordine formale per tutte le agenzie governative federali: proteggere i sistemi da una vulnerabilità ad alta gravità di MongoDB, già sfruttata attivamente in attacchi reali. La falla, denominata MongoBleed e tracciata come CVE-2025-14847, interessa il popolare database management system non relazionale.
La natura tecnica di CVE-2025-14847
⬆ Torna suMongoBleed origina da come MongoDB Server processa i pacchetti di rete utilizzando la libreria zlib per la compressione dei dati. Il problema tecnico specifico è un improper handling of length parameter inconsistency (CWE-130). In pratica, durante la decompressione dei messaggi di rete, il server restituisce la quantità di memoria allocata invece della lunghezza effettiva dei dati decompressi.
Questa incongruenza permette a un client malevolo di inviare un messaggio malformato che dichiara una dimensione decompressa più grande. Il server, di conseguenza, alloca un buffer di memoria più ampio e restituisce al client dati residenti in memoria che potrebbero contenere informazioni sensibili. Il processo di decompressione avviene prima della fase di autenticazione, rendendo la vulnerabilità particolarmente pericolosa.
Dati sensibili a rischio e PoC pubblico
⬆ Torna suLo sfruttamento riuscito di MongoBleed consente a threat actor non autenticati di rubare in remoto credenziali e dati sensibili attraverso attacchi a bassa complessità che non richiedono interazione dell'utente. Le informazioni che possono essere sottratte includono chiavi API e/o cloud, token di sessione, log interni, informazioni personali identificabili (PII), configurazioni, path e dati relativi ai client.
Joe Desimone, ricercatore alla sicurezza di Elastic, ha rilasciato pubblicamente un proof-of-concept (PoC) exploit denominato "MongoBleed" progettato specificamente per far fuoriuscire dati sensibili dalla memoria. Secondo il security researcher Kevin Beaumont, il codice PoC è funzionante e richiede solo "un indirizzo IP di un'istanza MongoDB per iniziare a estrarre elementi in memoria come password del database (in testo chiaro), chiavi segrete AWS, ecc."
L'estensione dell'esposizione su Internet
⬆ Torna suLa piattaforma Censys per la scoperta di dispositivi connessi a Internet ha rilevato, al 27 dicembre, oltre 87.000 istanze MongoDB potenzialmente vulnerabili esposte sulla rete pubblica. Quasi 20.000 server sono stati osservati negli Stati Uniti, seguiti dalla Cina con quasi 17.000 e dalla Germania con poco meno di 8.000.
Anche l'impatto sull'ambiente cloud appare significativo. Dati telemetrici della piattaforma di sicurezza cloud Wiz indicano che il 42% dei sistemi visibili "ha almeno un'istanza di MongoDB in una versione vulnerabile a CVE-2025-14847". I ricercatori di Wiz sottolineano di aver osservato lo sfruttamento di MongoBleed in the wild e raccomandano alle organizzazioni di prioritizzare l'applicazione della patch.
La risposta di CISA e le versioni patchate
⬆ Torna suCISA ha confermato il report di Wiz e aggiunto la vulnerabilità MongoBleed al suo catalogo di falle sfruttate negli attacchi. L'agenzia ordina alle Federal Civilian Executive Branch (FCEB) agencies di applicare le patch entro tre settimane, con scadenza 19 gennaio 2026. Le agenzie FCEB includono, tra le altre, il Dipartimento per la Sicurezza Interna, il Dipartimento del Tesoro, il Dipartimento dell'Energia e il Dipartimento della Salute.
MongoDB ha affrontato la vulnerabilità il 19 dicembre 2025, raccomandando fortemente agli amministratori di aggiornare a una versione sicura. Le release patchate sono: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. L'elenco delle versioni interessate da MongoBleed è ampio e include alcune versioni legacy rilasciate già alla fine del 2017.
Workaround e strumenti di rilevamento
⬆ Torna suPer i defender di rete che non possono applicare immediatamente le patch di sicurezza, MongoDB consiglia di disabilitare la compressione zlib sul server avviando mongod o mongos con un'opzione networkMessageCompressors o net.compression.compressors che ometta esplicitamente zlib. Alternative sicure per la compressione dati lossless includono Zstandard (zstd) e Snappy.
È disponibile anche uno strumento di rilevamento chiamato MongoBleed Detector. Creato da Florian Roth sfruttando le ricerche di Eric Capuano di Recon InfoSec, questo tool analizza i log di MongoDB e identifica potenziali tentativi di sfruttamento di CVE-2025-14847. Un metodo di detection suggerito prevede la ricerca di "un IP sorgente con centinaia o migliaia di connessioni ma zero eventi di metadata".
I clienti di MongoDB Atlas, il servizio di database completamente gestito e multi-cloud, hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-mongobleed-flaw-actively-exploited-in-attacks/
- https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-vulnerability-immediately/
- https://www.bleepingcomputer.com/news/security/exploited-mongobleed-flaw-leaks-mongodb-secrets-87k-servers-exposed/
In breve
- cve-2025-14847
- mongodb
- zlib
- exploit