Một lỗ hổng CVE nghiêm trọng với mã định danh CVE-2026-25611 (CVSS 7.5) đã được phát hiện trong MongoDB. Lỗ hổng này cho phép những kẻ tấn công không xác thực có thể gây sập các máy chủ bị phơi nhiễm chỉ với băng thông tối thiểu.

Theo báo cáo từ Cato CTRL, lỗ hổng ảnh hưởng đến tất cả các phiên bản MongoDB đã bật tính năng nén (từ v3.4+, tính năng này được bật mặc định từ v3.6), bao gồm cả MongoDB Atlas.

Phân Tích Chi Tiết Lỗ Hổng CVE-2026-25611 trong MongoDB

Dữ liệu từ Shodan cho thấy hơn 207.000 phiên bản MongoDB hiện đang được phơi nhiễm trên internet và có nguy cơ bị tấn công. Đây là một lỗ hổng CVE đáng báo động cần được xử lý kịp thời.

Phạm Vi Ảnh Hưởng và Mức Độ Phơi Nhiễm

• Các phiên bản bị ảnh hưởng: Tất cả phiên bản MongoDB từ v3.4+, nơi tính năng nén được kích hoạt (mặc định từ v3.6).
• Môi trường: Bao gồm các triển khai MongoDB Atlas.
• Mức độ phơi nhiễm: Hơn 207.000 phiên bản MongoDB đang hiển thị công khai trên internet.

Cơ Chế Khai Thác và Tấn Công Từ Chối Dịch Vụ

Lỗ hổng CVE-2026-25611 tồn tại trong cơ chế nén giao thức mạng của MongoDB, được gọi là OP_COMPRESSED. Điểm yếu này cho phép kẻ tấn công lợi dụng quá trình cấp phát bộ nhớ.

Điểm Yếu trong Giao Thức OP_COMPRESSED

Khi máy chủ nhận được một thông điệp nén, nó sẽ cấp phát bộ nhớ dựa trên giá trị uncompressedSize do kẻ tấn công kiểm soát, trước khi xác minh kích thước giải nén thực tế.

Kẻ tấn công có thể gửi một gói zlib nén nhỏ (chẳng hạn 47KB) trong khi tuyên bố kích thước không nén là 48MB.

Kỹ Thuật Tấn Công và Khuếch Đại Bộ Nhớ

Theo ghi nhận của SentinelOne, máy chủ sẽ cấp phát 48MB một cách mù quáng cho mỗi kết nối dựa trên yêu cầu từ kẻ tấn công. Điều này dẫn đến tỷ lệ khuếch đại bộ nhớ khổng lồ lên tới 1.027:1.

Bằng cách mở nhiều kết nối đồng thời, kẻ tấn công có thể nhanh chóng làm cạn kiệt RAM của máy chủ, gây ra sự kiện Out-of-Memory (OOM) kernel kill với mã thoát 137. Đây là một hình thức tấn công mạng gây gián đoạn dịch vụ nghiêm trọng.

Mức Độ Hiệu Quả của Tấn Công

Hiệu quả của cuộc tấn công từ chối dịch vụ này là cực kỳ nghiêm trọng. Thử nghiệm của Cato CTRL đã chỉ ra:

• Một máy chủ 512MB có thể sập trong khoảng hai giây chỉ với 10 kết nối gửi 457KB dữ liệu.
• Một phiên bản 1GB có thể bị tấn công bởi 25 kết nối trong ba giây.
• Ngay cả một cơ sở dữ liệu doanh nghiệp mạnh mẽ 64GB cũng có thể bị vô hiệu hóa trong vòng chưa đầy một phút, sử dụng khoảng 1.363 kết nối và chỉ 64MB lưu lượng truy cập từ một kết nối internet dân dụng tiêu chuẩn.

Đây là minh chứng cho thấy lỗ hổng CVE này có khả năng gây ra thiệt hại lớn với tài nguyên tối thiểu.

Dấu Hiệu Nhận Biết và Phát Hiện Tấn Công

Các chuyên gia bảo mật và quản trị viên mạng cần theo dõi các chỉ số sau để phát hiện các cuộc tấn công mạng liên quan đến lỗ hổng CVE-2026-25611:

• Lưu lượng kết nối TCP cao đến cổng 27017 từ một nguồn duy nhất.
• Thiết lập kết nối nhanh chóng nhưng sau đó không hoạt động (idle).
• Các gói OP_COMPRESSED có kích thước dưới 100KB nhưng khai báo kích thước không nén trên 10MB.

Chỉ Số Hệ Thống và Log

Các chỉ số hệ thống bao gồm:

• Tăng đột biến bộ nhớ MongoDB một cách nhanh chóng.
• Các sự kiện OOM killer nhắm vào tiến trình mongod trong nhật ký hệ thống.

Các Biện Pháp Giảm Thiểu và Bảo Vệ

Để giảm thiểu mối đe dọa từ lỗ hổng CVE-2026-25611, quản trị viên cần thực hiện các biện pháp bảo vệ sau một cách kịp thời. Việc áp dụng bản vá bảo mật là ưu tiên hàng đầu.

Cập Nhật Phiên Bản MongoDB

Các quản trị viên nên cập nhật ngay lập tức lên các phiên bản MongoDB đã được vá lỗi sau:

• 8.2.4
• 8.0.18
• 7.0.29

Vô Hiệu Hóa Tính Năng Nén

Nếu việc nâng cấp không thể thực hiện ngay lập tức, Cato CTRL khuyến nghị vô hiệu hóa hoàn toàn tính năng nén sử dụng tùy chọn --networkMessageCompressors=disabled. Chi tiết về biện pháp này có thể được tham khảo từ Cato Networks.

Thực hiện lệnh sau trên máy chủ MongoDB:

mongod --networkMessageCompressors=disabled

Hoặc thêm vào file cấu hình mongod.conf:

net:
  compression:
    compressors: disabled

Hạn Chế Truy Cập Mạng và Kết Nối

Ngoài ra, các tổ chức phải:

• Hạn chế truy cập mạng vào cơ sở dữ liệu chỉ từ các mạng đáng tin cậy thông qua tường lửa.
• Triển khai giới hạn kết nối bằng cách sử dụng maxIncomingConnections.
• Tránh cho phép truy cập mạng công cộng (0.0.0.0/0) trên các cụm MongoDB Atlas.

Thiết lập giới hạn kết nối trong mongod.conf:

net:
  maxIncomingConnections: 100

Việc áp dụng đồng bộ các biện pháp này sẽ giúp bảo vệ hệ thống khỏi lỗ hổng CVE này và các hình thức tấn công mạng tương tự, tăng cường an ninh mạng cho cơ sở hạ tầng dữ liệu của bạn.