2026.03.10
CVE-2026-25611漏洞可讓黑客能夠攻擊任何MongoDB服務(wù)器
MongoDB 發(fā)現(xiàn)了一個(gè)高嚴(yán)重性漏洞 CVE-2026-25611(CVSS 7.5),允許未經(jīng)認(rèn)證的攻擊者以極低帶寬癱瘓暴露的服務(wù)器。
根據(jù) Cato CTRL,它影響所有啟用壓縮的 MongoDB 版本(v3.4+,自 v3.6 起默認(rèn)開啟),包括 MongoDB Atlas。
此外,Shodan 數(shù)據(jù)顯示,目前有超過 207,000 個(gè) MongoDB 實(shí)例暴露在互聯(lián)網(wǎng)上并面臨風(fēng)險(xiǎn)。
該漏洞存在于 MongoDB 的線協(xié)議壓縮機(jī)制 ,稱為 OP_COMPRESSED。
當(dāng)服務(wù)器收到壓縮消息時(shí),會根據(jù)攻擊者控制的 uncompressedSize 值分配內(nèi)存,然后再驗(yàn)證實(shí)際解壓大小。
攻擊者可以發(fā)送一個(gè)極小的 47KBzlib 壓縮包,同時(shí)聲稱其未壓縮數(shù)據(jù)為 48MB。
SentinelOne 指出,服務(wù)器盲目分配每個(gè)連接 48MB,導(dǎo)致內(nèi)存放大比例達(dá)到 1027:1。
通過開啟多個(gè)并發(fā)連接,攻擊者會迅速耗盡服務(wù)器的內(nèi)存,觸發(fā)一個(gè)內(nèi)存外(OOM) 內(nèi)核殺機(jī),退出代碼為 137。
這種拒絕服務(wù)攻擊的效率非常嚴(yán)重 。Cato CTRL 的測試顯示,一臺 512MB 服務(wù)器在僅 10 個(gè)連接傳輸 457KB 數(shù)據(jù)時(shí),大約兩秒內(nèi)就會崩潰。
一個(gè) 1GB 的實(shí)例在三秒內(nèi)就變成了 25 個(gè)連接。即使是強(qiáng)大的 64GB 企業(yè)數(shù)據(jù)庫,也只需約 1363 個(gè)連接和僅 64MB 流量,標(biāo)準(zhǔn)家庭互聯(lián)網(wǎng)連接就能在不到一分鐘內(nèi)下線。
網(wǎng)絡(luò)防御者應(yīng)監(jiān)控單一來源對 27017 端口的大量 TCP 連接 ,以及保持閑置的快速連接建立。
OP_COMPRESSED 小于 100KB 的數(shù)據(jù)包,聲稱未壓縮大小超過 10MB。系統(tǒng)指標(biāo)包括快速的 MongoDB 內(nèi)存激增和系統(tǒng)日志中針對 Mongod 進(jìn)程的 OOM 殺手事件。
為減輕此威脅,管理員應(yīng)立即更新至已修補(bǔ)的 MongoDB 版本:8.2.4、8.0.18 或 7.0.29。如果無法立即升級,Cato CTRL 建議完全禁用壓縮 ,使用 –networkMessageCompressors=disabled。
此外,企業(yè)必須通過防火墻限制數(shù)據(jù)庫網(wǎng)絡(luò)訪問至受信任網(wǎng)絡(luò),使用 maxIncomingConnections 實(shí)現(xiàn)連接限制,并避免在 MongoDB Atlas 集群上允許公共網(wǎng)絡(luò)訪問(0.0.0.0/0)。
上一篇:黑客出售Windows遠(yuǎn)程桌面服務(wù)0-day漏洞
下一篇:偽裝龍蝦,惡意GhostClaw大肆洗劫開發(fā)者數(shù)據(jù)
云計(jì)算業(yè)務(wù)承載平臺