87,000+ MongoDB Instances Vulnerable to MongoBleed Flaw Exposed Online – PoC Exploit Released
2025/12/28 CyberSecurityNews — MongoDB Server の高深刻度の脆弱性を悪用する未認証のリモート攻撃者は、データベース・メモリから機密データを抜き出す可能性がある。この脆弱性 CVE-2025-14847 (CVSS:7.5) は、悪名高い Heartbleed バグとの類似性から MongoBleed と呼ばれている。この脆弱性は、MongoDB Server が zlib メッセージを解凍する際の実装に起因する。
2025年12月19日に公開された情報によると、この欠陥は初期化されていないメモリの漏洩に関するものである。MongoDB インスタンスが細工されたパケットを解凍するときに論理エラーが発生し、初期化されていないヒープ・メモリの読み取りを、リクエスト元に許す可能性がある。
MongoBleed の脆弱性の原因は、露出したメモリに格納されるデータにある。ヒープ領域は動的なものであるため、以前のデータベース操作の残余データが含まれることが多い。この脆弱性を悪用する攻撃者は、ヒープ・メモリから情報を漏洩させ、サーバで最近処理されたユーザーの個人情報などの、機密データを抽出する可能性がある。具体的には、平文認証情報/セッショントークン/認証キーなどが対象となる。
この脆弱性を悪用する攻撃者は、認証を必要としない。つまり、データベース・ポートへのネットワーク・アクセスを持つリモート・ユーザーであれば、この脆弱性を悪用できる。標準の MongoDB コンフィグでは、zlib 圧縮がデフォルトで有効化されているため、脆弱性が明らかになった時点で広範な攻撃対象領域が存在するという、リスクの高まりが懸念されている。
インターネット観測プラットフォーム Censys によると、この脆弱性の深刻度は極めて高い。12月下旬の時点において、Censys のクエリはパブリック・インターネットに公開された脆弱な MongoDB のインスタンス 87,000 件以上を特定した。
この脆弱性は、レガシー環境から最新リリースにいたるまでの幅広いバージョンに影響する。影響を受けるバージョンは、以下のとおりである。
MongoDB 8.2: 8.2.0 〜 8.2.2
MongoDB 8.0: 8.0.0 〜 8.0.16
MongoDB 7.0: 7.0.0 〜 7.0.27
MongoDB 6.0: 6.0.0 〜 6.0.26
MongoDB 5.0: 5.0.0 〜 5.0.31
MongoDB 4.4: 4.4.0 〜 4.4.29
レガシー: 4.2/4.0/3.6 の全バージョン
この記事を執筆している時点では、悪用は確認されていないが、迅速なパッチ適用が必要とされている。すでに研究者 Joe Desimone により、PoC エクスプロイトが GitHub で公開されている。公開されたエクスプロイト・コードにより、脅威アクターがパッチ未適用サーバをスキャンし、データをスクレイピングする可能性が飛躍的に高まっている。
すでに MongoDB は、CVE-2025-14847 に対処するパッチをリリースしている。管理者にとって必要なことは、以下のバージョン以降へと速やかにアップグレードすることだ。
8.2.3/8.0.17/7.0.28/6.0.27/5.0.32/4.4.30
迅速なパッチを適用が不可能な組織向けには、一時的な緩和策が提供されている。管理者は、”networkMessageCompressors” または “net.compression.compressors” で zlib を明示的に除外し、zlib 圧縮を無効化できる。また、信頼済み IP アドレスへのネットワーク・アクセス制限は、データベース・セキュリティの標準的ベストプラクティスであり、リモート攻撃者による脆弱なサービスへのアクセスの阻止に役立つ。
この問題は、MongoDB Server が通信データを解凍する際の手順に不備があったことに起因します。具体的には、zlib 形式で圧縮されたデータを解凍する処理で論理的なミスが発生し、本来は触れてはいけない初期化されていないメモリ領域を、プログラムが読み取ってしまう状態になっていました。この読み取られたメモリ領域には、直前にデータベースで扱われたパスワードやトークンなどの機密データが残っていることが多いため、外部から情報を抜き取られるリスクが生じています。さらに問題となるのは、パブリックなインターネット上に、87,000 件以上の脆弱な MongoDB Server インスタンスが存在することです。ご利用のチームは、ご注意ください。よろしければ、以下の記事および、CVE-2025-14847 での検索結果も、ご参照ください。
MongoBleed (CVE-2025-14847) Now Exploited in the Wild: MongoDB Servers at Critical Risk
IoT OT Security News 
You must be logged in to post a comment.