Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad CVE-2025-14847

Vulnerabilidad CVE-2025-14847

Por Mezo en Vulnerabilidad
Traducir a:

Una vulnerabilidad de MongoDB recientemente descubierta se está explotando activamente en ataques reales, poniendo en riesgo decenas de miles de instancias de bases de datos en todo el mundo. Investigadores de seguridad han identificado más de 87 000 implementaciones de MongoDB potencialmente vulnerables, lo que convierte este problema en una preocupación importante para las organizaciones que utilizan MongoDB en entornos de producción.

Comprensión de CVE-2025-14847

Identificada como CVE-2025-14847 y con una puntuación de 8,7 en la escala CVSS, esta vulnerabilidad de alta gravedad, denominada MongoBleed, permite a atacantes remotos no autenticados filtrar datos confidenciales directamente desde la memoria del servidor MongoDB, sin necesidad de credenciales válidas ni interacción del usuario.

La falla se puede explotar antes de la autenticación, lo que aumenta drásticamente su perfil de riesgo, especialmente para los servidores MongoDB expuestos a Internet.

Causa raíz: la compresión zlib salió mal

La vulnerabilidad se origina en una falla en la lógica de descompresión de mensajes basada en zlib de MongoDB Server, específicamente en el componente message_compressor_zlib.cpp. MongoDB habilita la compresión zlib por defecto, lo que significa que muchas implementaciones se ven afectadas a menos que se reconfigure explícitamente.

Al enviar paquetes de red comprimidos malformados, un atacante puede aprovechar el manejo inadecuado de la longitud de los datos descomprimidos. En lugar de devolver el tamaño real del contenido descomprimido, la lógica afectada devuelve el tamaño total del búfer asignado. Este error puede exponer la memoria del montón no inicializada, lo que permite a los atacantes recuperar fragmentos de datos confidenciales adyacentes.

Lo que los atacantes pueden robar

Una explotación exitosa puede resultar en la exposición de información altamente sensible almacenada en la memoria del servidor, incluyendo registros de usuarios, contraseñas y claves API. Si bien los atacantes pueden necesitar enviar un gran volumen de solicitudes para reconstruir datos significativos, y algunos fragmentos filtrados pueden ser irrelevantes, el riesgo aumenta con el tiempo. Cuanto más tiempo mantenga el acceso un atacante, más datos podrá recopilar.

Los analistas de seguridad en la nube confirman que el ataque no requiere autenticación ni interacción del usuario, lo que hace que los servidores MongoDB conectados a Internet sean especialmente vulnerables.

Alcance y exposición global

El análisis muestra que las instancias de MongoDB afectadas están ampliamente distribuidas por todo el mundo, con una alta concentración en Estados Unidos, China, Alemania, India y Francia. Los investigadores también informan que el 42 % de los entornos en la nube contienen al menos una instancia de MongoDB que ejecuta una versión vulnerable a CVE-2025-14847, que abarca tanto sistemas expuestos públicamente como infraestructura interna.

En la actualidad, las técnicas precisas utilizadas en las campañas de explotación activa siguen sin estar claras.

Parches, software afectado y un impacto más amplio

MongoDB ha publicado correcciones en varias ramas compatibles y ya se han aplicado parches a MongoDB Atlas. Las organizaciones deben actualizar inmediatamente a una de las siguientes versiones seguras:

MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 o 4.4.30

También es importante tener en cuenta que el problema no es exclusivo de MongoDB. La vulnerabilidad también afecta al paquete rsync de Ubuntu, debido a su dependencia de la misma biblioteca de compresión zlib.

Estrategias de mitigación durante la aplicación de parches

En entornos donde no es posible aplicar parches de inmediato, existen varias medidas de mitigación temporales que pueden reducir significativamente la exposición:

  • Deshabilite la compresión zlib iniciando mongod o mongos con la opción networkMessageCompressors o net.compression.compressors configurada para excluir zlib
  • Limite la exposición de la red restringiendo el acceso a los servidores MongoDB y monitoreando de cerca los registros para detectar intentos sospechosos de conexión previa a la autenticación.

Evaluación final

MongoBleed representa una grave amenaza debido a su facilidad de explotación, la falta de requisitos de autenticación y su amplia exposición. Las organizaciones que utilizan MongoDB deben tratar la CVE-2025-14847 como una medida de remediación de alta prioridad, aplicar parches sin demora y garantizar que se elimine la exposición innecesaria a la red siempre que sea posible.

Tendencias

Alerta importante sobre estafas por correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen atención urgente son el arma predilecta de los ciberdelincuentes. Es fundamental mantenerse alerta ante mensajes inesperados, especialmente aquellos que advierten sobre problemas con las cuentas o documentos recién publicados. Una de estas amenazas que circula en línea es la estafa por correo electrónico "Se están publicando facturas", una campaña...

Mas Visto

Cargando...