La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences gouvernementales de sécuriser leurs systèmes contre une faille MongoDB de grande gravité qui est activement exploitée dans les attaques.
Baptisée MongoBleed et suivie sous le nom de CVE-2025-14847, cette vulnérabilité a été corrigée le 19 décembre 2025 et découle de la façon dont le serveur MongoDB traite les paquets réseau à l’aide de la bibliothèque zlib pour la compression des données.
Une exploitation réussie permet aux acteurs de la menace non authentifiés de voler à distance des informations d’identification et d’autres données sensibles, y compris des clés API et/ou cloud, des jetons de session, des journaux internes et des informations personnelles identifiables (PII), grâce à des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Joe Desimone, chercheur en sécurité élastique, a également publié un exploit de validation de principe (PoC) qui fuit des données de mémoire sensibles lors du ciblage d’hôtes non corrigés.
Lundi, le chien de garde de la sécurité Internet Shadowserver a découvert plus de 74 000 instances MongoDB exposées à Internet et potentiellement vulnérables. Censys suit également plus de 87 000 adresses IP qui ont été identifiées comme exécutant des versions MongoDB éventuellement non corrigées.
Selon les données de télémétrie de la plate-forme de sécurité cloud Wiz, qui a également qualifié la vulnérabilité d’exploitée à l’état sauvage au cours du week-end, l’impact sur l’environnement cloud semble important, car 42% des systèmes visibles « ont au moins une instance de MongoDB dans une version vulnérable à CVE-2025-14847. »
CISA a maintenant confirmé le rapport de Wiz et a ajouté la faille de sécurité MongoBleed à sa liste de vulnérabilités exploitées lors d’attaques, ordonnant aux agences de la Branche Exécutive civile fédérale (FCEB) de patcher leurs systèmes dans les trois semaines, d’ici le 19 janvier 2026.
Les agences FCEB sont des agences non militaires de l’exécutif américain, y compris le Département de la Sécurité intérieure, le Département du Trésor, le Département de l’Énergie et le Département de la Santé et des Services sociaux.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA. « Appliquez des mesures d’atténuation conformément aux instructions du fournisseur, suivez les directives applicables de la DBO 22-01 pour les services cloud ou arrêtez d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles. »
Il est conseillé aux défenseurs du réseau qui ne peuvent pas appliquer immédiatement des correctifs de sécurité pour sécuriser leurs systèmes de désactiver la compression zlib sur le serveur.
Un détecteur MongoBleed qui analyse les journaux MongoDB et identifie l’exploitation potentielle de CVE-2025-14847 est également disponible pour les administrateurs qui souhaitent identifier les serveurs vulnérables sur leurs réseaux.
MongoDB est un système de gestion de base de données (SGBD) non relationnel extrêmement populaire utilisé par plus de 62 500 organisations dans le monde, dont des dizaines d’entreprises Fortune 500.