CISA Perintahkan Lembaga Federal Segera Menambal Celah MongoBleed yang Sedang Dieksploitasi

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan perintah darurat kepada seluruh lembaga pemerintah federal untuk segera menambal kerentanan kritis pada MongoDB yang saat ini sedang dieksploitasi secara aktif dalam serangan dunia nyata.

Kerentanan tersebut, yang diberi nama MongoBleed dan dilacak sebagai CVE‑2025‑14847, telah diperbaiki pada 19 Desember 2025. Celah ini berasal dari cara MongoDB Server memproses paket jaringan menggunakan pustaka kompresi data zlib. Eksploitasi yang berhasil memungkinkan penyerang mencuri kredensial dan data sensitif lain secara jarak jauh tanpa autentikasi, termasuk kunci API atau cloud, token sesi, log internal, hingga informasi pribadi (PII). Serangan ini bersifat low‑complexity dan tidak memerlukan interaksi pengguna.

Seorang peneliti keamanan dari Elastic, Joe Desimone, juga merilis proof‑of‑concept (PoC) yang menunjukkan bagaimana data memori sensitif dapat bocor dari server MongoDB yang belum ditambal.

Pemindaian terbaru dari Shadowserver menemukan lebih dari 74.000 instance MongoDB yang terekspos ke internet dan berpotensi rentan. Sementara itu, Censys melaporkan lebih dari 87.000 alamat IP yang menjalankan versi MongoDB yang kemungkinan belum diperbarui.

Platform keamanan cloud Wiz juga mendeteksi eksploitasi aktif di lingkungan cloud, dengan temuan bahwa 42% sistem yang terlihat memiliki setidaknya satu instance MongoDB yang rentan terhadap CVE‑2025‑14847.

CISA Wajibkan Patch Sebelum 19 Januari 2026

CISA kini mengonfirmasi laporan Wiz dan memasukkan MongoBleed ke dalam katalog kerentanan yang sedang dieksploitasi. Lembaga Federal Civilian Executive Branch (FCEB)—yang mencakup Departemen Keamanan Dalam Negeri, Departemen Keuangan, Departemen Energi, hingga Departemen Kesehatan—diperintahkan untuk menambal sistem mereka dalam waktu tiga minggu, paling lambat 19 Januari 2026.

CISA memperingatkan bahwa kerentanan seperti ini sering menjadi jalur serangan utama bagi aktor siber berbahaya dan menimbulkan risiko besar bagi infrastruktur federal. Jika patch tidak dapat segera diterapkan, administrator disarankan untuk menonaktifkan kompresi zlib sebagai langkah mitigasi sementara.

Selain itu, tersedia pula MongoBleed Detector, alat yang dapat menganalisis log MongoDB untuk mengidentifikasi tanda‑tanda eksploitasi CVE‑2025‑14847.

MongoDB sendiri merupakan sistem basis data non‑relasional yang sangat populer, digunakan oleh lebih dari 62.500 organisasi di seluruh dunia, termasuk puluhan perusahaan Fortune 500.

Sumber: CISA, Shadowserver, Wiz