概要

CATO NetworksのシニアセキュリティリサーチャーVitaly Simonovichが発見した新しいMongoDBの脆弱性（CVE-2026-25611）が、攻撃者にサーバーをクラッシュさせ、重要なデータを暴露させる可能性を秘めています。

脆弱性の詳細

この脆弱性は、MongoDBのOP_COMPRESSEDワイヤープロトコルに起因しています。これは、バージョン3.4で導入され、バージョン3.6以降でデフォルトで有効になっている圧縮機能です。脆弱性は、CWE-405（非対称なリソース消費）に分類され、CVSS 4.0スコアは8.7、CVSS 3.1スコアは7.5（高）です。

攻撃の仕組み

攻撃者は、圧縮メッセージを送信することで、サーバーに大規模なメモリブロックを予約させることができます。具体的には、攻撃者は約47KBのパケットを送信しながら、圧縮されていないサイズを48MBと偽称することで、サーバーに大きなメモリブロックを予約させます。これにより、1,027:1の拡大率が発生します。

影響範囲

• すべての圧縮機能が有効になっているMongoDBのデプロイメントが影響を受けます。
• MongoDB Atlasも影響を受ける可能性があります。
• バージョン7.0、8.0、8.2以前のパッチが適用されていない場合、脆弱性が存在します。

対策と緩和策

MongoDBは、バージョン7.0.29、8.0.18、8.2.4でこの脆弱性を修正しています。組織はすぐにアップグレードすることを推奨します。また、ポート27017を0.0.0.0/0に公開しないようにすることも重要です。

インジケーター・オブ・コムプロマイズ（IoC）

• ポート27017へのTCP接続の高頻度
• OP_COMPRESSEDパケット（opCode 2012）の存在
• mongodプロセスのメモリ使用量の急激な上昇
• システムログでのOOM（メモリ不足）キラーイベント
• MongoDBプロセスの終了コード137（OOMによるSIGKILL）

まとめ

この脆弱性は、MongoDBのワイヤープロトコルのパース前に認証チェックが行われる前に攻撃を実行するため、インターネットに公開されているすべてのMongoDBインスタンスが潜在的な標的となります。

---

元記事: https://gbhackers.com/new-mongodb-vulnerability-allows-attackers-to-crash-servers/