A volte basta davvero poco. Qualche pacchetto di rete minuscolo, quasi innocuo all’apparenza… e un server può smettere di rispondere nel giro di pochi secondi. È esattamente ciò che accade con una vulnerabilità appena scoperta che riguarda MongoDB.
La falla è stata classificata come CVE-2026-25611 e colpisce tutte le versioni di MongoDB che utilizzano la compressione dei messaggi, funzione attiva di default da parecchi anni. Il risultato? Un attaccante può mandare in crash il database senza neppure autenticarsi.
Una Falla Che Sfrutta La Gestione Della Memoria
La scoperta nasce dal lavoro del ricercatore di sicurezza Vitaly Simonovich.
Advertising
Analizzando il comportamento interno del database, è emerso un dettaglio curioso. Il server assegna memoria basandosi su un valore ricevuto nel pacchetto prima ancora di verificare se quel valore sia reale.
Sembra un passaggio tecnico, ma ha un effetto enorme. Un aggressore può dichiarare nel pacchetto che i dati decompressi saranno giganteschi, mentre in realtà invia pochissimi kilobyte.
Il server ci crede. Alloca la memoria. E lo fa subito.
Come Funziona L’Attacco
Il meccanismo ruota attorno al protocollo di comunicazione tra client e server MongoDB, chiamato Wire Protocol. Quando viene usata la modalità compressa, il messaggio include un campo chiamato uncompressedSize, cioè la dimensione che i dati dovrebbero avere dopo la decompressione.
Ed è proprio lì il punto debole. Il server utilizza quel valore per allocare il buffer di memoria, ma controlla solo dopo se la decompressione produce davvero quella dimensione. A quel punto però… la memoria è già stata riservata.
Advertising
Con un pacchetto di circa 47 KB è possibile costringere il server ad allocare fino a 48 MB. Un rapporto di amplificazione di oltre mille volte.
Bastano Pochi Pacchetti
Il risultato pratico è sorprendente. Un’istanza MongoDB con 512 MB di RAM può andare in crash con appena dieci connessioni simultanee. Parliamo di meno di mezzo megabyte di traffico malevolo.
Persino infrastrutture molto più robuste non sono immuni. Un server con 8 GB di memoria può essere abbattuto con meno di duecento connessioni.
Secondo i dati disponibili tramite Shodan, oltre 207.000 istanze MongoDB risultano esposte su Internet, il che rende la superficie d’attacco piuttosto ampia, soprattutto quando i database vengono configurati per accettare connessioni da qualsiasi indirizzo IP.
La ricerca è stata condotta da Cato CTRL™ Threat Research, che ha segnalato la vulnerabilità tramite il programma bug bounty di MongoDB. I dettagli tecnici completi sono disponibili nel report pubblicato da Cato CTRL™ Threat Research.
Le versioni vulnerabili riguardano le release precedenti alle patch 8.2.4, 8.0.18 e 7.0.29. L’aggiornamento risolve il problema verificando la dimensione dei dati prima dell’allocazione di memoria.
Per la community di Red Hot Cyber questa vicenda ricorda una cosa semplice ma spesso ignorata: anche una funzione pensata per migliorare le prestazioni – come la compressione – può diventare un vettore d’attacco se non viene gestita con attenzione.
E come sempre esporre database direttamente su Internet continua a essere una scelta molto discutibile.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.