Vulnérabilité CVE-2025-14847
Une faille de sécurité récemment découverte dans MongoDB est activement exploitée lors d'attaques réelles, mettant en danger des dizaines de milliers d'instances de bases de données à travers le monde. Des chercheurs en sécurité ont identifié plus de 87 000 déploiements MongoDB potentiellement vulnérables, ce qui représente une préoccupation majeure pour les organisations utilisant MongoDB en production.
Table des matières
Comprendre la vulnérabilité CVE-2025-14847
Référencée sous la référence CVE-2025-14847 et notée 8,7 sur l'échelle CVSS, cette vulnérabilité critique porte le nom de code MongoBleed. Elle permet à des attaquants distants non authentifiés de divulguer des données sensibles directement depuis la mémoire du serveur MongoDB, sans nécessiter d'identifiants valides ni d'interaction de l'utilisateur.
Cette faille est exploitable avant l'authentification, ce qui augmente considérablement son profil de risque, notamment pour les serveurs MongoDB exposés à Internet.
Cause principale : Défaillance de la compression zlib
Cette vulnérabilité provient d'une faille dans la logique de décompression des messages basée sur zlib du serveur MongoDB, plus précisément dans le composant message_compressor_zlib.cpp. MongoDB active la compression zlib par défaut, ce qui signifie que de nombreuses installations sont concernées, sauf si elles sont explicitement reconfigurées.
En envoyant des paquets réseau compressés malformés, un attaquant peut exploiter une gestion incorrecte de la longueur des données décompressées. Au lieu de renvoyer la taille réelle du contenu décompressé, la logique affectée renvoie la taille totale du tampon alloué. Cette erreur peut exposer de la mémoire non initialisée, permettant ainsi aux attaquants de récupérer des fragments de données sensibles adjacentes.
Ce que les attaquants peuvent voler
Une exploitation réussie peut entraîner la divulgation d'informations hautement sensibles stockées en mémoire sur le serveur, notamment les données utilisateur, les mots de passe et les clés API. Bien que les attaquants puissent avoir besoin d'envoyer un grand nombre de requêtes pour reconstituer des données exploitables, et que certains fragments divulgués puissent être sans importance, le risque s'accroît avec le temps. Plus un attaquant conserve l'accès longtemps, plus le volume de données potentiellement collectées est important.
Les analystes de sécurité du cloud confirment que l'attaque ne nécessite aucune authentification ni interaction de l'utilisateur, ce qui rend les serveurs MongoDB exposés à Internet particulièrement vulnérables.
Portée et rayonnement mondial
L'analyse révèle que les instances MongoDB affectées sont largement réparties à travers le monde, avec une forte concentration aux États-Unis, en Chine, en Allemagne, en Inde et en France. Les chercheurs indiquent également que 42 % des environnements cloud contiennent au moins une instance MongoDB exécutant une version vulnérable à la CVE-2025-14847, aussi bien sur des systèmes exposés publiquement que dans l'infrastructure interne.
À l'heure actuelle, les techniques précises utilisées dans les campagnes d'exploitation active restent floues.
Correctifs, logiciels concernés et impact plus large
MongoDB a publié des correctifs pour plusieurs branches prises en charge, et des correctifs ont déjà été appliqués à MongoDB Atlas. Les organisations doivent effectuer une mise à niveau immédiate vers l'une des versions sécurisées suivantes :
MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30
Il est également important de noter que ce problème n'est pas exclusif à MongoDB. La vulnérabilité affecte aussi le paquet rsync d'Ubuntu, car il utilise la même bibliothèque de compression zlib.
Stratégies d’atténuation pendant les travaux de réparation
Dans les environnements où une intervention immédiate n'est pas possible, plusieurs mesures d'atténuation temporaires peuvent réduire considérablement l'exposition :
- Désactivez la compression zlib en démarrant mongod ou mongos avec l'option networkMessageCompressors ou net.compression.compressors configurée pour exclure zlib.
- Limitez l'exposition du réseau en restreignant l'accès aux serveurs MongoDB et en surveillant attentivement les journaux pour détecter les tentatives de connexion suspectes avant authentification.
Évaluation finale
MongoBleed représente une menace sérieuse en raison de sa facilité d'exploitation, de l'absence d'exigences d'authentification et de sa large diffusion. Les organisations utilisant MongoDB doivent traiter la vulnérabilité CVE-2025-14847 comme une priorité absolue, appliquer les correctifs sans délai et veiller à éliminer toute exposition réseau inutile.
