تستمر التهديدات السيبرانية في التطور، حيث يستغل المهاجمون ثغرات حرجة مثل MongoBleed. في هذا المقال، نستعرض تفاصيل الثغرة وكيفية حماية أنظمتك.
يستغل المهاجمون بنشاط ثغرة حرجة في MongoDB لسرقة المعلومات الحساسة مباشرة من ذاكرة الخادم المتأثر.
يبدو أن الهجمات بدأت في 29 ديسمبر، بعد ثلاثة أيام فقط من نشر كود استغلال إثبات المفهوم (PoC) للثغرة على الإنترنت.
تسمح الثغرة الأمنية، المعينة بـ CVE-2025-14847 والمعروفة باسم “MongoBleed”، للمهاجمين عن بُعد باستخراج بيانات الاعتماد الواضحة، ورموز المصادقة، وبيانات العملاء الحساسة من ذاكرة الخادم دون أي مصادقة. وجدت شركة Rapid7، التي اختبرت كود الإثبات، أنه يعمل بشكل كامل وموثوق، مما يشكل تهديدًا خطيرًا للمنظمات التي تدير نسخ MongoDB ذاتيًا.
تهديد أمان MongoBleed
في تقرير هذا الأسبوع، حثت شركة الأمن المنظمات المتأثرة على معالجة الثغرة على الفور بدلاً من الانتظار لدورات التصحيح العادية. “نظرًا لطبيعة التسرب، فإن مجرد التصحيح غير كافٍ؛ يُنصح المنظمات أيضًا بتدوير جميع بيانات الاعتماد الخاصة بالقاعدة والبرامج التي قد تكون تعرضت قبل الإصلاح”، وفقًا لشركة Rapid7.
أعلنت شركة MongoDB Inc. عن المشكلة الأمنية لأول مرة في 19 ديسمبر. وبعد أسبوع، في 26 ديسمبر، نُشر كود الاستغلال الوظيفي على الإنترنت؛ وبعد ثلاثة أيام فقط، أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) وجود استغلال نشط في البرية. وقد منحت MongoDB الثغرة تصنيف خطورة CVSS يبلغ 8.7 من 10، لكن Rapid7 حذرت من عواقبها كونها حرجة للمنظمات المتأثرة.
تستغل MongoBleed بشكل محدد تسرب الذاكرة في خوادم MongoDB المهيأة لاستخدام خوارزمية ضغط Zlib للرسائل الشبكية – وهي تكوين شائع في العديد من بيئات الإنتاج، وفقًا لشركة Rapid7. يمكن للمهاجم استغلال الثغرة باستخدام حزم شبكية مصممة خصيصًا تستخدم ضغط Zlib لخداع خادم MongoDB في تسريب محتويات الذاكرة، ومن هنا جاءت التسمية MongoBleed.
ما يجعل هذه الثغرة خطيرة بشكل خاص هو أنها لا تتطلب أي مصادقة. يمكن لأي مهاجم عن بُعد الوصول إلى الثغرة عبر الشبكة دون الحاجة إلى بيانات اعتماد صالحة أو إذن خاص. يمكن أن تحتوي الذاكرة المسربة على أسرار قيمة، بما في ذلك كلمات المرور، ومفاتيح واجهة برمجة التطبيقات، وبيانات من جلسات قاعدة البيانات المتزامنة الأخرى.
العامل المخفف الوحيد هو أن CVE-2025-14847 يسمح للمهاجمين بسرقة فقط ذاكرة الكومة غير المهيأة، أو أجزاء من ذاكرة الوصول العشوائي للخادم التي لم يتم مسحها بشكل صحيح من المعلومات السابقة. ونتيجة لذلك، فإن الهجمات التي تستهدف بيانات محددة في ذاكرة الخادم ليست ممكنة عبر MongoBleed. “يجب على [المهاجمين] بدلاً من ذلك الاعتماد على محاولات استغلال متكررة والصدفة لالتقاط معلومات حساسة”، قالت Rapid7.
أداة استغلال جديدة لسرقة بيانات MongoDB
قالت مختبرات Rapid7 إنها حددت أداة استغلال جديدة تقلل بشكل كبير من العائق الفني للهجوم على خوادم MongoDB الضعيفة. تتميز الأداة بواجهة مستخدم رسومية تسمح حتى للجهات الفاعلة الأقل كفاءة باستخراج 10 ميغابايت من الذاكرة في دفعة واحدة من خادم متأثر أو مراقبة عملية استخراج البيانات من خلال تغذية بصرية مباشرة، مما يلغي الحاجة إلى عمليات سطر الأوامر المعقدة أو الخبرة في البرمجة.
تؤثر CVE-2025-14847 على مجموعة واسعة من إصدارات MongoDB، بما في ذلك الفروع 4.4 و5.0 و6.0 و7.0 و8.0. ترغب MongoDB في أن تقوم المنظمات المتأثرة بالترقية إلى الإصدارات 8.2.3 و8.0.17 و7.0.28 و6.0.27 و5.0.32 أو 4.4.30.
“إذا لم تتمكن من الترقية على الفور، قم بتعطيل ضغط Zlib على خادم MongoDB عن طريق بدء mongod أو mongos مع خيار networkMessageCompressors أو net.compression.compressors الذي يستبعد Zlib صراحةً”، قالت MongoDB في إشعارها. “تشمل القيم الآمنة المثال snappy وzstd أو المعطلة.”
تظهر ظهور هجمات MongoBleed أن إدارة التصحيحات لا تزال مفتاحًا للدفاع عن المؤسسات، وتبرز الفجوة المتزايدة بين الكشف عن الثغرات واستغلالها النشط. تظهر تحليل عام 2025 من Vectra.ai – جنبًا إلى جنب مع أبحاث مماثلة من العديد من البائعين الآخرين – أن متوسط الوقت لاستغلال الثغرات المعلنة حديثًا قد انتقل من متوسط 63 يومًا في 2018-2019 إلى خمسة أيام فقط بحلول عام 2024. كما وجدت Vectra.ai أن أكثر من 28% من جميع الثغرات تُستغل الآن في غضون 24 ساعة من الكشف. بالإضافة إلى ذلك، فإن الاستخدام المتزايد للذكاء الاصطناعي في تطوير الاستغلال قد يقلص هذه الأوقات بشكل أكبر، مما يضع المزيد من الضغط على فرق الأمن للاستجابة بسرعة.
تذكر أن الاستجابة السريعة والتحديث المنتظم لأنظمة الأمان هي المفتاح لحماية بياناتك. لا تتردد في اتخاذ الإجراءات اللازمة لحماية خوادم MongoDB الخاصة بك.
