Sebuah kerentanan kritis pada MongoDB yang dijuluki MongoBleed kini menjadi sorotan serius di dunia keamanan siber. Celah dengan kode CVE-2025-14847 tersebut dilaporkan telah dieksploitasi secara aktif, membuka risiko kebocoran data sensitif dari puluhan ribu server MongoDB yang terhubung langsung ke internet.
Kerentanan ini memengaruhi berbagai versi MongoDB dan memiliki skor keparahan 8,7, menempatkannya dalam kategori kritis. Patch resmi untuk instalasi mandiri telah tersedia sejak 19 Desember, namun banyak sistem yang belum diperbarui sehingga tetap rentan terhadap serangan.
MongoBleed berakar dari cara MongoDB Server memproses paket jaringan yang dikompresi menggunakan pustaka zlib. Dalam kondisi tertentu, server mengembalikan ukuran memori yang dialokasikan alih-alih panjang data hasil dekompresi. Penyerang dapat memanfaatkan perilaku ini dengan mengirimkan pesan jaringan yang dimanipulasi, sehingga server mengalokasikan buffer memori lebih besar dan secara tidak sengaja mengirimkan potongan data dari memori internal ke klien.
Data yang berpotensi bocor sangat beragam, mulai dari kredensial basis data, kunci API dan cloud, token sesi, hingga informasi pribadi pengguna. Bahkan log internal, konfigurasi sistem, dan data klien juga dapat terekspos. Yang membuat situasi semakin berbahaya, proses dekompresi ini terjadi sebelum tahap autentikasi, sehingga penyerang tidak memerlukan kredensial apa pun untuk mengeksploitasi celah tersebut.
Eksploit publik dalam bentuk proof-of-concept telah dirilis dan menunjukkan bagaimana data sensitif dapat diekstraksi hanya dengan mengetahui alamat IP server MongoDB target. Validitas eksploit ini telah dikonfirmasi oleh sejumlah peneliti keamanan independen, yang menyebut bahwa informasi seperti kata sandi basis data dan kunci layanan cloud dapat ditemukan dalam memori server.
Skala paparan kerentanan ini tergolong masif. Data pemantauan menunjukkan lebih dari 87 ribu instance MongoDB yang berpotensi rentan masih dapat diakses dari internet publik. Amerika Serikat menjadi negara dengan jumlah server terbanyak, disusul oleh Tiongkok dan Jerman. Di lingkungan cloud, dampaknya juga signifikan, dengan hampir setengah sistem yang terpantau menjalankan setidaknya satu instance MongoDB dalam versi rentan.
Aktivitas eksploitasi di dunia nyata telah terdeteksi, mendorong para peneliti keamanan untuk mendesak organisasi agar segera melakukan pembaruan. Meski demikian, patching saja dinilai belum cukup. Administrator juga disarankan untuk memeriksa indikasi kompromi, seperti pola koneksi mencurigakan dari satu alamat IP dengan jumlah koneksi sangat tinggi namun tanpa metadata klien yang wajar.
Sebagai respons tambahan, sejumlah alat deteksi telah dikembangkan untuk membantu mengidentifikasi tanda-tanda eksploitasi MongoBleed melalui analisis log MongoDB. Langkah ini penting mengingat penyerang dapat memodifikasi teknik eksploitasi untuk menghindari metode deteksi yang ada.
MongoDB sendiri telah merilis versi aman dan merekomendasikan administrator untuk segera melakukan upgrade. Daftar versi yang terdampak cukup panjang, mencakup rilis lama hingga versi yang relatif baru. Untuk pengguna MongoDB Atlas, pembaruan telah diterapkan secara otomatis tanpa memerlukan tindakan tambahan.
Tidak tersedia solusi sementara untuk menutup celah ini. Jika peningkatan versi belum memungkinkan, MongoDB menyarankan agar kompresi zlib dinonaktifkan pada server. Sebagai alternatif, administrator dapat beralih ke metode kompresi lossless lain yang lebih aman, seperti Zstandard atau Snappy.