Lỗ hổng mới cho phép hacker tấn công DoS MongoDB Server mà không cần đăng nhập

[Kaya]

MongoDB - một trong những hệ quản trị cơ sở dữ liệu phổ biến nhất hiện nay, vừa phát hiện ra lỗ hổng rất đáng lo ngại cho phép hacker từ xa dễ dàng khiến hệ thống bị sập chỉ bằng một đoạn mã độc.
Lỗ hổng này cho phép hacker chưa đăng nhập (unauthenticated) có thể khiến toàn bộ máy chủ cơ sở dữ liệu sập (Denial of Service) chỉ bằng cách gửi một đoạn mã JSON được chế tạo đặc biệt. Mức độ nghiêm trọng và ảnh hưởng tới ba nhánh phiên bản chính của MongoDB hiện đang được sử dụng rộng rãi.

• Tên lỗ hổng: CVE-2025-6709
• Mức độ: Cao (CVSS 7.5)
• Ảnh hưởng: Làm sập máy chủ MongoDB (Denial of Service)
• Đối tượng bị ảnh hưởng: MongoDB Server 6.0 (trước bản 6.0.21), 7.0 (trước bản 7.0.17), 8.0 (trước bản 8.0.5)

Điều kiện khai thác:​

• Có thể thực hiện từ xa qua mạng
• Không cần tài khoản đăng nhập (đối với bản 7.0 và 8.0)
• Gửi JSON qua shell mongo

Lỗ hổng nằm trong cơ chế xác thực OIDC (OpenID Connect) của MongoDB, quá trình phân tích dữ liệu đầu vào (JSON chứa giá trị kiểu ngày tháng) không được kiểm tra chặt chẽ, dẫn đến lỗi xử lý, gây “invariant failure” – một điều kiện sai phạm bên trong khiến máy chủ MongoDB tự động dừng hoạt động để bảo vệ hệ thống.

Cách thức tấn công:​

• Kẻ tấn công không cần xác thực (pre-auth) trong trường hợp MongoDB v7.0 và v8.0.
• Sử dụng shell mongo, gửi một đoạn JSON chứa giá trị ngày tháng bị bóp méo (malformed date).
• Khi server cố xử lý giá trị này trong quy trình xác thực OIDC, hệ thống gặp lỗi nội bộ nghiêm trọng → máy chủ crash lập tức.

Tại sao nói lỗ hổng này nguy hiểm?​

• Không cần đăng nhập, không cần tài khoản → Rủi ro cao nếu MongoDB được mở truy cập qua mạng.
• Tấn công đơn giản, chỉ cần gửi payload → Dễ dàng bị khai thác bởi công cụ tự động hoặc botnet.
• Ảnh hưởng toàn hệ thống: nếu hệ thống dùng MongoDB làm cơ sở dữ liệu chính, việc server bị sập sẽ dừng toàn bộ ứng dụng, gây mất dịch vụ và ảnh hưởng hoạt động kinh doanh.

Phạm vi ảnh hưởng của lỗ hổng:​

• MongoDB Server v6.0 (trước 6.0.21): cần đăng nhập mới khai thác được, rủi ro thấp hơn.
• MongoDB Server v7.0 (trước 7.0.17) và v8.0 (trước 8.0.5): có thể bị khai thác mà không cần xác thực, cực kỳ nguy hiểm.
• Triệu chứng khi bị khai thác: server tắt đột ngột, log báo lỗi invariant, ứng dụng mất kết nối cơ sở dữ liệu.

Người dùng cần lưu ý điều gì?​

• Hệ thống dễ bị khai thác nhất là các máy chủ MongoDB mở cổng Internet hoặc nằm trong mạng nội bộ đã bị xâm nhập.
• Nếu bạn dùng OIDC để xác thực người dùng vào MongoDB, nguy cơ cao hơn.
• Rất khó phát hiện và ngăn chặn kiểu tấn công này bằng tường lửa nếu không có lớp lọc JSON hoặc WAF chuyên biệt.

Theo khuyến cáo từ các chuyên gia:​

1. Cần cập nhật ngay lập tức các phiên bản đã được vá:

• MongoDB v6.0.21
• MongoDB v7.0.17
• MongoDB v8.0.5

2. Nếu chưa thể cập nhật ngay:

• Tạm thời vô hiệu hóa cơ chế xác thực OIDC nếu không sử dụng bắt buộc.
• Hạn chế truy cập MongoDB từ Internet, chỉ cho phép các IP tin cậy.
• Triển khai Web Application Firewall (WAF) có khả năng lọc JSON độc hại.
• Theo dõi log để phát hiện các lỗi "invariant failure" và cảnh báo sớm tình trạng server bất thường.

Lỗ hổng CVE-2025-6709 trên MongoDB là một minh chứng rõ ràng cho việc thiếu kiểm tra đầu vào có thể dẫn đến sự cố nghiêm trọng trong hệ thống sản xuất. Dù không làm lộ dữ liệu, nhưng tác động gián đoạn dịch vụ, ảnh hưởng vận hành là rất lớn, đặc biệt trong môi trường có high availability (HA) hoặc các ứng dụng thời gian thực.

Với tính chất dễ khai thác, hậu quả rõ rệt, không yêu cầu xác thực, đây là lỗ hổng đáng để ưu tiên khắc phục ngay. Các tổ chức nên kiểm tra phiên bản MongoDB đang dùng, cập nhật bản vá hoặc triển khai các biện pháp tạm thời trong thời gian sớm nhất.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview