Vulnerabilità

Cisa ordina patch immediate per MongoBleed sfruttata attivamente su MongoDB

di Redazione
scritto da Redazione 0 commenti
cisa patch mongobleed

MongoBleed diventa una priorità nazionale dopo che Cisa ha ordinato l’applicazione immediata delle patch per CVE-2025-14847, una vulnerabilità critica di MongoDB già sfruttata attivamente in attacchi reali, capace di esporre credenziali, chiavi API, token di sessione e dati sensibili da istanze database accessibili via rete.

La decisione dell’agenzia statunitense segna un cambio di passo netto nella gestione delle vulnerabilità server-side ad alto impatto, inserendo MongoBleed nel Known Exploited Vulnerabilities Catalog e imponendo alle agenzie federali l’adozione delle mitigazioni entro una scadenza rigida. Non si tratta di un alert preventivo, ma della risposta a exploit già osservati in ambienti cloud, con una superficie di attacco che coinvolge decine di migliaia di sistemi esposti su internet.

MongoBleed e la vulnerabilità CVE-2025-14847

MongoBleed identifica una falla critica nella gestione dei messaggi di rete compressi tramite zlib all’interno di MongoDB. Il problema risiede nell’accesso a memoria heap non inizializzata, che può essere letto da un attaccante remoto senza alcuna autenticazione semplicemente inviando pacchetti compressi appositamente costruiti.

La vulnerabilità consente l’esfiltrazione di informazioni altamente sensibili, inclusi username, password, chiavi API, token di sessione, log interni e dati personali, rendendo il database un punto di ingresso privilegiato per compromissioni più ampie. Il punteggio CVSS elevato riflette una combinazione pericolosa di bassa complessità di attacco, assenza di interazione utente e impatto diretto sulla confidenzialità.

La patch ufficiale viene rilasciata da MongoDB il 19 dicembre 2025, coprendo un arco molto ampio di versioni, dalla 3.6 fino alla 8.2, a conferma della profondità strutturale del bug.

Exploit in the wild e conferme operative

La gravità della situazione emerge dalle conferme indipendenti di attività malevole. Wiz rileva exploit attivi attraverso la propria telemetria cloud, osservando tentativi sistematici di estrazione di dati di memoria da istanze MongoDB non aggiornate. Secondo le analisi, circa il 42% dei sistemi visibili risulta ancora vulnerabile al momento delle rilevazioni.

A rafforzare il quadro intervengono i dati di Shadowserver, che identifica oltre 74.000 istanze MongoDB esposte direttamente su internet, mentre Censys censisce più di 87.000 indirizzi IP con versioni potenzialmente non patchate. Numeri che spiegano perché MongoBleed venga considerata un vettore di attacco ad alta probabilità, soprattutto in contesti cloud e multi-tenant.

Un proof-of-concept pubblicato da Joe Desimone di Elastic dimostra in modo pratico come sia possibile estrarre porzioni di memoria sensibile da host vulnerabili, abbassando ulteriormente la soglia di ingresso per attori malevoli.

L’ordine Cisa e le scadenze federali

Con l’inclusione di CVE-2025-14847 nel catalogo KEV, Cisa attiva i meccanismi previsti dalla direttiva BOD 22-01, imponendo a tutte le agenzie del Federal Civilian Executive Branch l’applicazione delle patch o delle mitigazioni entro il 19 gennaio 2026.

L’ordine riguarda sia infrastrutture on-premise sia servizi cloud utilizzati dalle agenzie federali, estendendo di fatto l’impatto della decisione anche al settore privato. La Cisa sottolinea che, in assenza di patch immediate, i sistemi vulnerabili devono essere mitigati o disabilitati, senza margini di discrezionalità.

Mitigazioni temporanee e configurazioni di emergenza

In attesa dell’aggiornamento completo, la mitigazione raccomandata consiste nella disabilitazione della compressione zlib nei servizi MongoDB. Gli amministratori possono avviare mongod o mongos configurando il parametro networkMessageCompressors in modo da escludere zlib e utilizzare solo compressori considerati sicuri come snappy o zstd, oppure disabilitare del tutto la compressione.

Questa misura riduce drasticamente la superficie di attacco, ma viene considerata temporanea, poiché non sostituisce l’aggiornamento alle versioni corrette. La Cisa avverte che il mantenimento prolungato di configurazioni di emergenza può introdurre rischi operativi e prestazionali.

L’allerta parallela su SmarterMail

Nel contesto degli stessi alert, la Cyber Security Agency of Singapore segnala anche una vulnerabilità critica distinta, CVE-2025-52691, che colpisce SmarterMail, piattaforma di posta elettronica ampiamente diffusa in ambienti enterprise.

Leggi la nota

Il bug, scoperto da Chua Meng Han del Centre for Strategic Infocomm Technologies, consente upload arbitrari di file e può portare a esecuzione remota di codice con privilegi del servizio. SmarterTools corregge il problema nella build 9413 del 9 ottobre 2025, raccomandando l’aggiornamento alla versione 9483 del 18 dicembre 2025. Al momento non risultano exploit in the wild, ma il CVSS 10.0 evidenzia un rischio massimo per i server non aggiornati.

Impatto globale e rischio sistemico

MongoDB serve oltre 62.500 organizzazioni a livello globale, incluse numerose aziende Fortune 500, rendendo MongoBleed una vulnerabilità con implicazioni sistemiche. L’accesso non autenticato a dati di memoria apre la strada non solo a furti diretti, ma anche a movimenti laterali, compromissioni di account cloud e violazioni su larga scala. Il fatto che la vulnerabilità sfrutti una libreria di terze parti come zlib sottolinea un problema strutturale nella supply chain del software server, dove componenti consolidate possono introdurre rischi critici difficili da individuare.

Un segnale per la sicurezza dei database

Il caso MongoBleed rafforza una tendenza ormai chiara: i database esposti su internet rappresentano un bersaglio primario per attacchi ad alta resa. La combinazione di configurazioni permissive, patch ritardate e servizi cloud accessibili pubblicamente crea un contesto ideale per exploit automatizzati e campagne su larga scala. L’intervento diretto della Cisa dimostra come queste vulnerabilità non siano più considerate semplici problemi tecnici, ma minacce concrete alla sicurezza nazionale e alla stabilità delle infrastrutture digitali, con effetti a cascata sul settore privato.

Domande Frequenti su MongoBleed

Che cos’è MongoBleed

MongoBleed è una vulnerabilità critica di MongoDB, identificata come CVE-2025-14847, che permette a un attaccante remoto non autenticato di leggere memoria non inizializzata e sottrarre dati sensibili.

Perchè è pericolosa MongoBleed?

Perché la vulnerabilità è già sfruttata attivamente in attacchi reali e rappresenta un vettore frequente per compromissioni di database esposti su internet.

Qual è il rischio principale per le organizzazioni

Il furto di credenziali, chiavi API, token di sessione e dati personali, con potenziali effetti a catena su ambienti cloud e infrastrutture aziendali.

Quali sono le mitigazioni disponibili

L’aggiornamento immediato alle versioni patchate di MongoDB o, in via temporanea, la disabilitazione della compressione zlib nelle configurazioni di rete.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.