פגיעה חמורה: עשרות אלפי שרתי MongoDB בסכנה
החולשה המכונה MongoBleed, המקבילה ל-Heartbleed, מאפשרת לתוקפים מרוחקים לחלץ נתונים רגישים מזיכרון השרת ● קבוצות פריצה, כולל איראניות, כבר נצפו מנצלות את החולשה בפועל
עשרות אלפי שרתי MongoDB מצויים בסיכון מיידי בשל פגיעה חמורה שנחשפה. החולשה, שכונתה MongoBleed, מקבילה לפגיעה הידועה לשמצה Heartbleed, ומאפשרת לתוקפים מרוחקים לחלץ ולקצור נתונים רגישים ישירות מזיכרון השרת – בלי שהדבר יתגלה.
הפגיעה קיבלה ציון של 8.7 בדירוג חומרת הפגיעויות, CVSS. הפגם משפיע על גרסאות של MongoDB בין 4.4 ל-8.2.2. מומחי אבטחה ציינו כי בין קבוצות ההאקרים שנצפו מנצלות את הפגיעה, היו גם קבוצות פריצה איראניות. בעקבות הגילוי, MongoDB שחררה כלי אבטחה קריטיים לחולשה, שסומנה כ-CVE-2025-14847. הכלי מאפשר זיהוי של הפגיעה, מה שמעניק לצוותי אבטחה יכולת להעריך את מידת החשיפה ולתעדף את התיקון בתשתית שלהם.
🚨 CRITICAL: MongoBleed (CVE-2025-14847).
MongoDB bug leaks in-memory data pre-auth and is exploited in the wild. 42% of clouds are vulnerable, ~87K exposed.
Atlas patched. Self-hosted: patch now or disable zlib. https://t.co/lyGOzxcLh1— Wiz (@wiz_io) December 28, 2025
היקף החשיפה ואופן הניצול שלה
חוקרי האבטחה של וויז (Wiz) הישראלית כתבו כי עשרות אלפי ארגונים שיש להם בסיסי נתונים של MongoDB נמצאים בסיכון מיידי בשל הפגם.
מחקר של ענקית ההגנה בענן העלה שכ-42% מסביבות הענן מכילות לפחות מופע MongoDB אחד פגיע. הפגם קיים בלוגיקת הפירוק של הודעות הרשת של השרת, וכך הוא לא מצליח לאמת את אורך חבילות הנתונים הדחוסים לפני העיבוד. התוקפים אינם זקוקים לאישורים כדי לנצל את הפגיעה. חבילה זדונית שנוצרה במיוחד מרמה את השרת ומדליפה ממנו קטעי זיכרון בלי שנדרש אימות.
🚨 MongoBleed (CVE-2025-14847)
MongoDB w/ zlib enabled (default) may leak uninitialized heap memory to unauthenticated attackers, risking credentials & tokens.
📌 Censys sees 87K+ potentially vulnerable instances.
✅ Patch: 8.2.3+, 8.0.17+, 7.0.28+, 6.0.27+, 5.0.32+, 4.4.30+
🔗… pic.twitter.com/oNioN1sBlg— Censys (@censysio) December 27, 2025
חוקרי Censys זיהו יותר מ-87,000 מקרים של חשיפה פוטנציאלית לחולשה ברחבי העולם, ו-"אלה מהווים משטח תקיפה משמעותי", ציינו.
לפי ההערכות, רוב הפגיעות נמצאות בארגונים בארה"ב, סין, גרמניה, הודו וצרפת. מומחים ציינו כי היכולת לנצל את החולשה באופן פשוט מחד, והחשיפה הנרחבת מאידך, "הופכים אותה למטרה עיקרית למתקפות אוטומטיות, כמו גם למושכת עבור קבוצות כופרה ושחקני איום בסייבר הפועלים בחסות מדינות, ואשר רוצים להשיג גישה לא מורשית לבסיסי הנתונים".
מומחי OX Security ציינו כי "למרות שהתוקף יצטרך לשלוח לשרת כמות גדולה של בקשות כדי לאסוף מידע רב או את כלל בסיס הנתונים, הרי שככל שיש לו יותר זמן, כך ניתן לאסוף יותר מידע".
תגובות
(0)