تتصدر ثغرة MongoBleed، والمعرفة برمجياً برمز CVE-2025-14847، مشهد الأمن السيبراني العالمي كواحدة من التهديدات الوشيكة التي تستهدف خوادم MongoDB Server.
تكمن خطورة هذه الثغرة في قدرتها على السماح لمهاجم بعيد، دون الحاجة إلى تسجيل دخول أو امتلاك صلاحيات، بقراءة أجزاء من ذاكرة heap غير المهيأة. وقد تعاظم القلق الأمني حيال هذا الخلل بعد أن أدرجتها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ضمن كتالوج الثغرات المعروفة المستغلة (KEV)، ما يعد دليلاً قاطعاً على وجود نشاط استغلال فعلي في البيئات الرقمية، وهو ما يستوجب معالجة فورية وحاسمة.
التشريح التقني لآلية الاستغلال وسلوك الخادم
يعتمد نظام MongoDB في تواصله على بروتوكول ثنائي خاص يعرف بـ Wire Protocol. وعند تفعيل خاصية ضغط الرسائل، تغلف البيانات داخل بنية تقنية تسمى OP_COMPRESSED، والتي تتضمن حقلاً مخصصاً لتحديد حجم البيانات بعد فك الضغط (uncompressedSize). وقد أظهرت التحليلات المعمقة التي أجراها فريق AhnLab ASEC أن الخادم يثق في هذا الحقل بشكل مطلق دون التحقق من صحته، ما يمنح المهاجم فرصة للتلاعب بحجم المخزن المؤقت الذي يخصصه الخادم للبيانات.
تتجلى الفجوة الأمنية عند استخدام مكتبة zlib لفك الضغط؛ حيث تقوم الدالة المسؤولة بإعادة حجم المخزن المؤقت المخصص مسبقاً عوضاً عن الحجم الفعلي الناتج عن عملية فك الضغط. يؤدي هذا التباين بالخادم إلى التعامل مع مساحات من الذاكرة غير المعبأة وكأنها بيانات شرعية. ومع تداخل سلوك محلل BSON، الذي قد يتجاوز حدود البيانات الصحيحة بحثاً عن علامة النهاية (Null terminator)، تتسرب شظايا من محتويات الذاكرة ضمن رسائل الخطأ. ومن خلال تكرار هذه الطلبات الملغومة، يستطيع المهاجم تجميع بيانات حساسة مثل رموز الجلسات، ومفاتيح API، وبيانات الاعتماد، ممهداً الطريق لهجمات أكثر اختراقاً وتدميراً.
حالة الاستغلال الميداني والنطاق الزمني للأزمة
منذ إدراج الثغرة في قائمة (KEV) في 29 ديسمبر 2025، وضعت السلطات الأمريكية موعداً نهائياً للمعالجة في المؤسسات الفدرالية بحلول 19 يناير 2026. وتتزايد المخاوف مع انتشار تقارير عن توفر نماذج استغلال (PoC) علنية، ورصد هجمات فعلية استهدفت بعض القطاعات، بما في ذلك إشارات غير مؤكدة رسمياً عن حوادث في قطاع الألعاب.
وتشير التقديرات التقنية إلى وجود نحو 87 ألف مثيل من خوادم MongoDB مكشوفة بشكل مباشر على شبكة الإنترنت، ما يوسع دائرة الخطر لتشمل طيفاً واسعاً من الشركات والمؤسسات التي تعتمد على الإصدارات المتأثرة، والتي تشمل السلاسل من 4.4 وصولاً إلى الإصدارات الأولية من سلسلة 8.2.
استراتيجيات الاستجابة العاجلة وتدابير الحماية
يظل التحديث الفوري إلى الإصدارات المصححة (مثل 8.2.3، 8.0.17، 7.0.28، وغيرها) هو الخط الدفاعي الأول والأكثر موثوقية. وفي الحالات التي يتعذر فيها التحديث العاجل، ينصح بتعطيل ضغط zlib على الخادم وتعديل إعدادات التراسل لاستخدام بدائل أخرى مثل snappy أو zstd.
علاوة على ذلك، يجب على فرق الأمن تقليص سطح التعرض عبر منع الوصول المباشر إلى منافذ قاعدة البيانات من الإنترنت العام، وحصرها ضمن شبكات خاصة محمية بجدران نارية صارمة. كما تلعب أنظمة الرصد دوراً حيوياً في هذه المرحلة من خلال تفعيل سجلات التحليل لالتقاط أي محاولات استغلال شاذة، وضمان الامتثال للمعايير الوطنية والدولية في إدارة الثغرات وحماية الأصول المعلوماتية.
