Μια ευπάθεια υψηλής σοβαρότητας, το CVE-2026-25611 (CVSS 7.5), ανακαλύφθηκε στο MongoDB, επιτρέποντας σε μη επαληθευμένους εισβολείς να διακόψουν τους εκτεθειμένους διακομιστές χρησιμοποιώντας ελάχιστο εύρος ζώνης.
Σύμφωνα με το Cato CTRL, επηρεάζει όλες τις εκδόσεις MongoDB όπου είναι ενεργοποιημένη η συμπίεση (v3.4+, ενεργοποιημένη από προεπιλογή από την έκδοση 3.6), συμπεριλαμβανομένου του MongoDB Atlas.
Επιπλέον, τα δεδομένα της Shodan δείχνουν ότι πάνω από 207.000 περιπτώσεις MongoDB είναι επί του παρόντος εκτεθειμένες στο διαδίκτυο και σε κίνδυνο.
.webp.jpeg)
Μηχανισμός επίθεσης και αντίκτυπος
Η ευπάθεια υπάρχει στον μηχανισμό συμπίεσης πρωτοκόλλου καλωδίων του MongoDB, γνωστό ως OP_COMPRESSED.
Σύμφωνα με το Cato CTRL, όταν ο διακομιστής λαμβάνει ένα συμπιεσμένο μήνυμα, εκχωρεί μνήμη με βάση την τιμή uncompressedSize που ελέγχεται από τον εισβολέα πριν επαληθεύσει το πραγματικό αποσυμπιεσμένο μέγεθος.
Ένας εισβολέας μπορεί να στείλει ένα μικροσκοπικό πακέτο 47 KB συμπιεσμένο με zlib ενώ διεκδικεί ασυμπίεστο μέγεθος 48 MB.
Το SentinelOne σημειώνει ότι ο διακομιστής εκχωρεί τυφλά 48 MB ανά σύνδεση, με αποτέλεσμα μια τεράστια αναλογία ενίσχυσης μνήμης 1.027:1.
.webp.jpeg)
Ανοίγοντας πολλαπλές ταυτόχρονες συνδέσεις, ο εισβολέας εξαντλεί γρήγορα τη μνήμη RAM του διακομιστή, ενεργοποιώντας έναν πυρήνα εξόδου από τη μνήμη (OOM) με κωδικό εξόδου 137.
Η αποτελεσματικότητα αυτής της επίθεσης Denial-of-Service είναι σοβαρή. Η δοκιμή του Cato CTRL έδειξε ότι ένας διακομιστής 512 MB κολλάει σε περίπου δύο δευτερόλεπτα με μόλις 10 συνδέσεις που στέλνουν 457 KB δεδομένων.
Μια παρουσία 1 GB πέφτει σε 25 συνδέσεις σε τρία δευτερόλεπτα. Ακόμη και μια ισχυρή εταιρική βάση δεδομένων 64 GB μπορεί να αποσυνδεθεί σε λιγότερο από ένα λεπτό χρησιμοποιώντας περίπου 1.363 συνδέσεις και μόλις 64 MB κίνησης από μια τυπική οικιακή σύνδεση στο διαδίκτυο.
Οι υπερασπιστές δικτύου θα πρέπει να παρακολουθούν για μεγάλους όγκους συνδέσεων TCP στη θύρα 27017 από μία μόνο πηγή και για γρήγορη εγκατάσταση σύνδεσης που παραμένει σε αδράνεια.
.webp.jpeg)
OP_COMPRESSED πακέτα κάτω των 100 KB που διεκδικούν ασυμπίεστο μέγεθος άνω των 10 MB. Οι δείκτες συστήματος περιλαμβάνουν γρήγορες αιχμές μνήμης MongoDB και συμβάντα δολοφονίας OOM που στοχεύουν τη διαδικασία mongod στα αρχεία καταγραφής συστήματος.
Για να μετριαστεί αυτή η απειλή, οι διαχειριστές θα πρέπει να ενημερώσουν αμέσως τις ενημερωμένες εκδόσεις MongoDB: 8.2.4, 8.0.18 ή 7.0.29.
Εάν η αναβάθμιση δεν είναι άμεσα δυνατή, Το Cato CTRL συμβουλεύει την απενεργοποίηση της συμπίεσης χρησιμοποιώντας εξ ολοκλήρου –networkMessageCompressors=disabled.
Επιπλέον, οι οργανισμοί πρέπει να περιορίσουν την πρόσβαση του δικτύου της βάσης δεδομένων σε αξιόπιστα δίκτυα μέσω τείχους προστασίας, να εφαρμόσουν όρια σύνδεσης χρησιμοποιώντας maxIncomingConnections και να αποφύγουν την πρόσβαση στο δημόσιο δίκτυο (0.0.0.0/0) στα συμπλέγματα MongoDB Atlas.
