CISA Alerts on Active Exploitation of MongoDB Vulnerability CVE-2025-14847
2025/12/30 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、MongoDB Server の深刻な脆弱性 CVE-2025-14847 が、積極的に悪用されている状況について警告を発した。この脆弱性 MongoBleed は、2025年12月29日 に CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。それが示唆するのは、現実世界の攻撃で、脅威アクターたちが脆弱性 CVE-2025-14847 を継続的に標的としている実態である。
脆弱性の概要
脆弱性 CVE-2025-14847 は、MongoDB Server の zlib 圧縮プロトコル・ヘッダーにおける長さパラメータの不一致に対する不適切な処理 (CWE-130) に起因する。この脆弱性を悪用する未認証の攻撃者は、初期化されていないヒープメモリをリモートから読み取る可能性があり、サーバ・メモリに残存する機密情報が漏洩する恐れがある。
この脆弱性が深刻である理由は、認証を必要とせずに悪用できる点にある。そのため、インターネットに公開された MongoDB 環境は、きわめて脆弱な状態にある。
初期化されていないヒープメモリには、データベース認証情報/セッション・トークン/暗号化キー/機密ビジネス情報などが含まれる可能性がある。それらは、過去の処理によりメモリ上に残存しているデータである。
CISA が CVE-2025-14847 を KEV カタログへ追加したことは、この脆弱性をサイバー犯罪者たちが積極的に悪用している状況を示す。この脆弱性が、ランサムウェア攻撃に利用されているかどうかは不明である。しかし、活発な悪用が継続している以上、MongoDB インフラを運用する組織は早急に対応すべきである。
CISA の拘束的運用指令 BOD 22-01 に従い、連邦政府機関および組織は 2026年1月19日までに緩和策を実施する必要がある。クラウド・ベースの MongoDB 導入では、管理者はクラウドサービスに関する BOD 22-01 のガイダンスに従う必要がある。
緩和策やパッチが利用できない場合において、CISA が強く推奨するのは、適切なセキュリティ対策が実施されるまでの間は、MongoDB Server の使用を中止することである。
民間の組織も、ベンダーの指示に従い、MongoDB がリリースしたセキュリティ・パッチとアップデートを直ちに適用する必要がある。その際には、インターネット接続された MongoDB インスタンスへのパッチ適用を優先すべきである。それに加えて、侵害の可能性があるシステムを特定するための、徹底的なセキュリティ評価を実施すべきである。
MongoDB Server に発見された、深刻な脆弱性 MongoBleed が CISA KEV に登録されました。この問題の原因は、MongoDBが通信データを圧縮する際に使用する、zlib というプロトコル処理の不備にあります。具体的には、データの長さを表すパラメータが実際のデータと一致していない場合に、それを適切に処理できないという状況が発生します。この不備を突かれると、攻撃者は認証なしでサーバのメモリ内にある情報を参照できてしまいます。メモリ上には、以前の処理で使われたパスワードや暗号化キーなどの機密データが残っていることがあり、それらが外部へ漏洩する恐れがあります。この脆弱性は、すでに実際の攻撃での悪用が確認されており、きわめて危険な状態です。ご利用のチームは、ご注意ください。よろしければ、MongoBleed での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.