L’Exploit MongoBleed è online: 87.000 istanze su internet a rischio compromissione

È stata scoperta, come riportato in precedenza, una grave vulnerabilità in MongoDB che consente a un aggressore remoto, senza alcuna autenticazione, di accedere alla memoria non inizializzata del server. Al problema è stato assegnato l’identificatore CVE-2025-14847 e un punteggio CVSS di 8,7, che rappresenta un livello di gravità elevato.

Il bug Improper Handling of Length Parameter Inconsistency

L’errore CWE-130 è correlato all’elaborazione errata dei parametri di lunghezza dei dati. In alcune situazioni, il server non associa correttamente il valore di lunghezza specificato nell’intestazione alla quantità effettiva di dati trasferiti.

Ciò è dovuto al protocollo di scambio dati di compressione Zlib: se i campi di lunghezza nell’intestazione compressa non corrispondono al contenuto effettivo, MongoDB potrebbe restituire al client una posizione di memoria non inizializzata in precedenza.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In parole povere, una richiesta appositamente creata consente di leggere frammenti della RAM di un server senza effettuare l’accesso. Questi dati possono contenere lo stato interno del processo, puntatori, strutture di servizio o altre informazioni che facilitano ulteriori attacchi.

La vulnerabilità interessa un’ampia gamma di versioni di MongoDB Server:

• ramo 8.2 da 8.2.0 a 8.2.3
• ramo 8.0 da 8.0.0 a 8.0.16
• ramo 7.0 da 7.0.0 a 7.0.26
• ramo 6.0 da 6.0.0 a 6.0.26
• ramo 5.0 da 5.0.0 a 5.0.31
• ramo 4.4 da 4.4.0 a 4.4.29
• così come tutte le versioni di MongoDB Server 4.2, 4.0 e 3.6

Gli sviluppatori hanno già rilasciato aggiornamenti che risolvono il problema. Le correzioni sono disponibili nelle versioni 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. MongoDB sottolinea che lo sfruttamento della vulnerabilità è possibile lato client e non richiede credenziali, pertanto si consiglia di installare l’aggiornamento il prima possibile.

L’Exploit MongoBleed

MongoBleed viene eseguito  prima  dei controlli di autenticazione. Creando pacchetti di rete compressi e malformati, gli aggressori non autenticati possono ora indurre il server a gestire in modo errato le lunghezze dei messaggi decompressi, con il risultato che il server restituisce frammenti di memoria heap non inizializzati direttamente al client.

La causa principale risiede in message_compressor_zlib.cpp, dove il codice vulnerabile restituiva la dimensione del buffer allocato anziché la lunghezza effettiva dei dati decompressi. Questa falla sottile ma critica consente a payload sottodimensionati o malformati di esporre la memoria heap adiacente contenente informazioni sensibili, una vulnerabilità di buffer overflow  analoga a Heartbleed .

Poiché la falla è raggiungibile prima dell’autenticazione e non richiede alcuna interazione da parte dell’utente, i server MongoDB esposti a Internet corrono un rischio immediato di sfruttamento.

Secondo Censys, attualmente sono circa 87.000 le istanze potenzialmente vulnerabili esposte in tutto il mondo, mentre la ricerca di Wiz indica che il 42% degli ambienti cloud ospita almeno un’istanza MongoDB vulnerabile.

Risorse online

Negli ultimi giorni sono stati pubblicati su GitHub diversi repository dedicati allo sfruttamento e alla rilevazione della CVE-2025-14847, una vulnerabilità critica di memory disclosure in MongoDB legata alla gestione della compressione zlib (flag OP_COMPRESSED).

Progetti come ProbiusOfficial/CVE-2025-14847 e cybertechajju/CVE-2025-14847_Exploit forniscono proof of concept ed exploit funzionanti che dimostrano come sia possibile estrarre dati sensibili direttamente dalla heap di istanze MongoDB vulnerabili, evidenziando l’impatto concreto del bug.

Accanto agli exploit, sono comparsi anche strumenti di detection e scanning, come onewinner/CVE-2025-14847 e Black1hp/mongobleed-scanner, pensati per individuare rapidamente sistemi esposti, molto utili in contesti di bug bounty, red teaming e security assessment.

Il repository Ashwesker/Blackash-CVE-2025-14847 completa il panorama offrendo un’ulteriore implementazione focalizzata sull’analisi della vulnerabilità.

Nel complesso, questa ondata di tool conferma l’elevata attenzione della community sulla falla e la sua pericolosità reale in scenari di produzione, soprattutto per database MongoDB esposti in rete o non adeguatamente aggiornati.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.