חולשת אבטחה קריטית (CVE-2025-14847) מאפשרת לתוקפים לשלוף סיסמאות ומידע רגיש משרתי מסדי נתונים ללא צורך בהזדהות.
החשש, הפרצה כבר נוצלה במתקפות על חברות ענק.
מומחי אבטחה מזהירים מפני ניצול פעיל של פרצת אבטחה חמורה ב-MongoDB, המכונה "MongoBleed". הפרצה מאפשרת לתוקפים לקרוא את תוכן זיכרון השרת (Memory Leak), ובכך לגנוב מפתחות הצפנה, סיסמאות ונתונים אישיים, כל זאת מבלי להזין שם משתמש או סיסמה.
איך זה עובד?
הפרצה נובעת מבאג באופן שבו השרת מעבד הודעות דחוסות (באמצעות ספריית zlib). תוקף יכול לשלוח הודעה זדונית שתגרום לשרת להקצות זיכרון בצורה שגויה, ובתגובה להחזיר לתוקף מידע מתוך הזיכרון הפנימי של המערכת. מכיוון שהתהליך קורה לפני שלב האימות, כל שרת חשוף באינטרנט נמצא בסכנה מיידית.
היקף הסכנה
- מספר השרתים החשופים: לפי נתוני Censys, כ-87,000 שרתים ברחבי העולם חשופים לציבור ועלולים להיות פגיעים (כ-20,000 מתוכם בארה"ב).
- ניצול בפועל: חוקרים כבר זיהו ניסיונות תקיפה בזמן אמת. ההערכה היא שזו הפרצה ששימשה את התוקפים בפריצה למשחק Rainbow Six Siege של Ubisoft בסוף השבוע האחרון.
מה עושים?
חברת MongoDB שחררה תיקון (Patch) ב-19 בדצמבר.
אם אתם מנהלים שרת MongoDB בניהול עצמי (Self-hosted), עליכם לעדכן מיד לאחת הגרסאות הבטוחות:
- 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, או 4.4.30.
- לקוחות שירות הענן MongoDB Atlas מוגנים אוטומטית ואינם צריכים לבצע פעולה.
אם אינכם יכולים לשדרג כרגע, ההמלצה היא לנטרל את דחיסת zlib בהגדרות השרת כפתרון זמני.
