ثغرة MongoDB خطيرة تُستغل عالمياً: 87 ألف خادم مهدد

كشفت تقارير أمنية عن استغلال نشط لثغرة أمنية خطيرة في MongoDB تحمل الرمز CVE-2025-14847، مع تحديد أكثر من 87 ألف خادم معرض للخطر حول العالم.

ما هي ثغرة MongoBleed وكيف تعمل؟

تحمل الثغرة اسم MongoBleed ودرجة خطورة 8.7 على مقياس CVSS، وتسمح للمهاجمين غير المصرح لهم باستخراج بيانات حساسة من ذاكرة خوادم MongoDB عن بُعد دون الحاجة لمصادقة.

وفقاً لشركة OX Security، فإن العيب يكمن في آلية ضغط zlib التي تتيح للمهاجمين تسريب المعلومات عبر إرسال حزم شبكية مشوهة لاستخراج أجزاء من البيانات الخاصة.

ما هي البيانات المعرضة للاختراق؟

تكمن المشكلة في تطبيق فك ضغط رسائل zlib في MongoDB Server، وتؤثر على الخوادم التي تستخدم ضغط zlib المفعّل افتراضياً. الاستغلال الناجح للثغرة قد يسمح باستخراج:

• معلومات المستخدمين وكلمات المرور
• مفاتيح API الحساسة
• أجزاء من قواعد البيانات الخاصة
• بيانات من ذاكرة heap غير المهيأة

وأشارت OX Security إلى أن المهاجم قد يحتاج لإرسال عدد كبير من الطلبات لجمع قاعدة البيانات بالكامل، لكن كلما زاد الوقت المتاح، زادت كمية المعلومات التي يمكن جمعها.

كم عدد الخوادم المعرضة للخطر؟

كشفت شركة Wiz للأمن السحابي أن الثغرة تنبع من خلل في منطق فك ضغط رسائل الشبكة المعتمد على zlib، مما يتيح للمهاجمين إرسال حزم مضغوطة مشوهة دون بيانات اعتماد صالحة أو تفاعل من المستخدم.

وأوضح الباحثان الأمنيان Merav Bar وAmitai Cohen أن المنطق المتأثر أعاد حجم المخزن المؤقت بدلاً من طول البيانات الفعلية المفكوكة، مما يسمح للحمولات المشوهة بكشف ذاكرة heap المجاورة.

أظهرت بيانات شركة Censys وجود أكثر من 87 ألف خادم معرض للخطر، معظمها في:

• الولايات المتحدة الأمريكية
• الصين
• ألمانيا
• الهند
• فرنسا

وأشارت Wiz إلى أن 42% من البيئات السحابية تحتوي على نسخة واحدة على الأقل من MongoDB معرضة للثغرة، بما في ذلك الموارد المعرضة للإنترنت والداخلية.

كيف تحمي خادم MongoDB من الاستغلال؟

حسب تيكبامين، لا تزال التفاصيل الدقيقة حول طبيعة الهجمات التي تستغل الثغرة غير معروفة حالياً، لكن يُنصح المستخدمون بشدة بالتحديث الفوري إلى الإصدارات الآمنة التالية:

• MongoDB 8.2.3
• MongoDB 8.0.17
• MongoDB 7.0.28
• MongoDB 6.0.27
• MongoDB 5.0.32
• MongoDB 4.4.30

تم تطبيق التحديثات الأمنية على MongoDB Atlas بالفعل. من الجدير بالذكر أن الثغرة تؤثر أيضاً على حزمة rsync في Ubuntu، مما يوسع نطاق التأثير الأمني لهذه الثغرة الخطيرة.