Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco

La Cybersecurity and Infrastructure Security Agency (CISA) ha ufficialmente lanciato l’allarme su una vulnerabilità critica in MongoDB, aggiungendo la falla al suo catalogo delle vulnerabilità note sfruttate (KEV).

Questa mossa conferma che il bug, denominato “MongoBleed“, viene attivamente sfruttato dagli hacker per rubare dati sensibili dai server di tutto il mondo. Il difetto è grave. Deriva da una “gestione impropria dell’incoerenza dei parametri di lunghezza” nell’uso della libreria di compressione zlib da parte del database.

I ricercatori di sicurezza di Ox Security hanno chiarito il funzionamento della vulnerabilità, la quale deriva dalla tendenza di MongoDB a restituire il volume di memoria allocata durante l’elaborazione dei comunicati di rete, anziché le dimensioni effettive dei dati decompressi.

La vulnerabilità , identificata come CVE-2025-14847, ha un punteggio di gravità pari a 8,7 e colpisce un’ampia gamma di versioni di MongoDB Server, dalle installazioni legacy alle release più recenti.

L’intervento della CISA fa seguito alle segnalazioni di abusi diffusi. L’agenzia ha avvertito che “questo tipo di vulnerabilità è un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’attività federale”.

L’elenco delle versioni interessate è ampio e copre anni di release:

• MongoDB dalla versione 8.2.0 alla 8.2.3
• MongoDB dalla versione 8.0.0 alla 8.0.16
• MongoDB dalla versione 7.0.0 alla 7.0.26
• MongoDB dalla versione 6.0.0 alla 6.0.26
• MongoDB dalla versione 5.0.0 alla 5.0.31
• MongoDB dalla versione 4.4.0 alla 4.4.29
• Tutte le versioni 4.2, 4.0 e 3.6.

Secondo Censys, una piattaforma dedicata alla scoperta di risorse connesse a Internet, al 27 dicembre erano oltre 87.000 le istanze MongoDB potenzialmente vulnerabili esposte alla rete Internet pubblica.

Questa incoerenza strutturale consente a un malintenzionato di trasmettere un “messaggio malformato che dichiara una dimensione decompressa esagerata”, ingannando così il server e inducendolo a riservare un buffer di memoria espandibile. Successivamente, il server restituisce inavvertitamente il contenuto di questa memoria non inizializzata all’avversario.

Sfruttando questa falla, gli aggressori sono in grado di raccogliere da remoto segreti, credenziali e altri dati riservati da un’istanza MongoDB esposta, ottenendo un’estrazione completa senza la necessità di autenticazione.

MongoDB ha risolto la vulnerabilità 10 giorni fa e invita tutti gli amministratori ad aggiornare immediatamente a una “versione sicura”. Le versioni corrette sono:

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30.

Fortunatamente, i clienti che utilizzano MongoDB Atlas, il servizio multi-cloud completamente gestito dell’azienda , hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione