MongoBleed Alert: বিশ্বজুড়ে হ্যাকিংয়ের কবলে MongoDB | CVE-2025-14847 Fix Guide | Bug Mohol

মঙ্গোব্লিড (MongoBleed) আতঙ্ক: বিশ্বজুড়ে ৮৭,০০০ ডেটাবেস যখন হ্যাকারদের হাতের মুঠোয় | CVE-2025-14847 বিস্তারিত বিশ্লেষণ

Bug Mohol Tech Desk |তারিখ: ৮ জানুয়ারি, ২০২৬

CVE-2025-14847 বা MongoBleed-এর কারণে হ্যাকাররা কোনো লগইন ছাড়াই মঙ্গোডিবির মেমোরি থেকে সংবেদনশীল তথ্য চুরি করতে সক্ষম।

---

সাইবার দুনিয়ায় আবারও এক বিশাল ঝড়ের পূর্বাভাস। এবার কেন্দ্রবিন্দুতে বিশ্বের অন্যতম জনপ্রিয় ডেটাবেস ম্যানেজমেন্ট সিস্টেম—MongoDB। সম্প্রতি উন্মোচিত একটি ক্রিটিক্যাল সিকিউরিটি ভালনারেবিলিটি বা নিরাপত্তা ত্রুটি, যার পোশাকি নাম CVE-2025-14847, এখন বিশ্বজুড়ে হাজার হাজার সার্ভারের ঘুম হারাম করে দিয়েছে। নিরাপত্তা গবেষকরা এই ত্রুটিটির নাম দিয়েছেন "MongoBleed" (মঙ্গোব্লিড)।

পরিসংখ্যান বলছে, এই মুহূর্তে পৃথিবীজুড়ে প্রায় ৮৭,০০০-এরও বেশি মঙ্গোডিবি ইনস্ট্যান্স বা সার্ভার হ্যাকারদের আক্রমণের জন্য পুরোপুরি উন্মুক্ত হয়ে আছে। সবচেয়ে ভয়ের ব্যাপার হলো, হ্যাকাররা ইতিমধ্যেই এই ত্রুটিকে কাজে লাগিয়ে ‘অ্যাক্টিভ এক্সপ্লয়টেশন’ বা সক্রিয় আক্রমণ শুরু করে দিয়েছে।

কিন্তু আসলে কী এই CVE-2025-14847? কেন একে এত বিপজ্জনক মনে করা হচ্ছে? এবং একজন ডেভেলপার বা সিস্টেম অ্যাডমিন হিসেবে আপনার করণীয় কী? আজকের এই বিশেষ প্রতিবেদনে আমরা এই বিষয়গুলোর গভীরে গিয়ে বিস্তারিত ব্যবচ্ছেদ করব।

১. সমস্যাটির মূলে: কী এই CVE-2025-14847?

সহজ কথায় বলতে গেলে, এটি মঙ্গোডিবির zlib কমপ্রেশন প্রসেসের একটি ত্রুটি। এই ত্রুটিটির সিভিএসএস (CVSS) স্কোর ৮.৭, যা একে ‘উচ্চ ঝুঁকিপূর্ণ’ বা High Severity ক্যাটাগরিতে ফেলেছে।

সাধারণত, ডেটাবেস সার্ভারগুলো নেটওয়ার্কের মাধ্যমে ডেটা আদান-প্রদান করার সময় সেগুলোকে ছোট বা কমপ্যাক্ট করার জন্য ‘কমপ্রেশন’ পদ্ধতি ব্যবহার করে। মঙ্গোডিবিতে ডিফল্ট বা স্বয়ংক্রিয়ভাবে zlib নামের একটি লাইব্রেরি এই কমপ্রেশনের কাজ করে থাকে।

সমস্যা হলো, মঙ্গোডিবির সার্ভার কোডে (message_compressor_zlib.cpp) এই zlib-এর মাধ্যমে আসা প্যাকেটগুলোকে ডিকমপ্রেস বা খোলার সময় একটি লজিক্যাল ভুল রয়ে গেছে। হ্যাকাররা এখন ইচ্ছাকৃতভাবে বিকৃত বা ‘Malformed’ নেটওয়ার্ক প্যাকেট সার্ভারে পাঠাচ্ছে। সার্ভার যখন সেই প্যাকেটটি প্রসেস করতে যাচ্ছে, তখনই ঘটছে বিপত্তি।

২. হ্যাকাররা কীভাবে তথ্য চুরি করছে? (টেকনিক্যাল বিশ্লেষণ)

আসুন একটু কারিগরি ভাষায়, কিন্তু সহজ উপমায় বিষয়টি বুঝি।

ধরুন, আপনি কাউকে একটি পার্সেল পাঠালেন এবং বাক্সের গায়ে লিখে দিলেন—"ভিতরে ১০ কেজি চাল আছে"। কিন্তু বাস্তবে আপনি বাক্সে দিয়েছেন মাত্র ২ কেজি চাল, বাকিটা ফাঁকা। এখন প্রাপক (এখানে মঙ্গোডিবি সার্ভার) যদি অন্ধের মতো আপনার লেবেলে বিশ্বাস করে ১০ কেজির জায়গাই বরাদ্দ করে রাখে, তাহলে বাকি ৮ কেজির জায়গায় কী থাকবে?

কম্পিউটারের মেমোরিতে বা Heap Memory-তে এই ফাঁকা জায়গাটি শূন্য থাকে না। সেখানে আগে থেকে প্রসেস হওয়া অন্যান্য ডেটার অবশিষ্টাংশ বা ‘গারবেজ’ থেকে যায়। এই অবশিষ্টাংশেই লুকিয়ে থাকতে পারে অন্য ইউজারদের পাসওয়ার্ড, সেশন টোকেন, বা এপিআই কি (API Key)।

"ত্রুটিযুক্ত লজিকটি আসল ডেটার দৈর্ঘ্যের (Actual Decompressed Length) পরিবর্তে বরাদ্দকৃত বা অ্যালোকেটেড বাফার সাইজ (Allocated Buffer Size) রিটার্ন করছে। ফলে হ্যাকাররা ছোট বা আন্ডারসাইজড পেলোড পাঠিয়ে সার্ভারের মেমোরি থেকে সংবেদনশীল তথ্য বের করে আনতে পারছে।"
— Wiz এবং OX Security গবেষক দল

সবচেয়ে ভয়ের কারণ হলো—

• ১. কোনো পাসওয়ার্ড বা লগইন দরকার নেই: এটি একটি ‘Unauthenticated’ অ্যাটাক। অর্থাৎ, হ্যাকারকে সিস্টেমে লগইন করতে হবে না।
• ২. ইউজার ইন্টারঅ্যাকশন নেই: অ্যাডমিনকে কোনো লিংকে ক্লিক করতে হবে না; হ্যাকার দূর থেকেই এটি করতে পারে।

৩. কেন একে ‘মঙ্গোব্লিড’ বলা হচ্ছে?

যারা সাইবার সিকিউরিটি নিয়ে খোঁজখবর রাখেন, তাদের নিশ্চয়ই ২০১৪ সালের কুখ্যাত Heartbleed বাগের কথা মনে আছে। হার্টব্লিড যেমন ওপেনএসএসএল (OpenSSL)-এর মেমোরি থেকে তথ্য চুইয়ে পড়ার সুযোগ দিত, মঙ্গোডিবির এই বাগটিও ঠিক একইভাবে সার্ভারের মেমোরি লিক করছে।

OX Security-এর গবেষকরা বলছেন, হ্যাকাররা হয়তো একবারে পুরো ডেটাবেস ডাউনলোড করতে পারবে না। কিন্তু তারা বারবার হাজার হাজার রিকোয়েস্ট পাঠিয়ে ফোঁায় ফোঁটায় তথ্য সংগ্রহ করতে পারে। অনেকটা মশা যেমন একটু একটু করে রক্ত চুষে নেয়, এখানেও হ্যাকাররা সার্ভারের মেমোরি থেকে একটু একটু করে ডেটা শুষে নিচ্ছে। সময় যত বেশি পাবে, তত বেশি গোপন তথ্য তাদের হাতে যাবে।

৪. বিশ্বজুড়ে বিস্তৃতি: কারা ঝুঁকির মুখে?

অ্যাটাক সারফেস ম্যানেজমেন্ট কোম্পানি Censys-এর রিপোর্ট অনুযায়ী, এই মুহূর্তে ইন্টারনেটে উন্মুক্ত থাকা প্রায় ৮৭,০০০ মঙ্গোডিবি সার্ভার সরাসরি ঝুঁকির মুখে।

• সবচেয়ে বেশি আক্রান্ত: যুক্তরাষ্ট্র, চীন, জার্মানি, ভারত এবং ফ্রান্স।
• ক্লাউড এনভায়রনমেন্ট: ক্লাউড সিকিউরিটি কোম্পানি Wiz জানিয়েছে, তাদের স্ক্যান করা ৪২% ক্লাউড এনভায়রনমেন্টে অন্তত একটি হলেও মঙ্গোডিবি ইনস্ট্যান্স রয়েছে যা এই বাগের শিকার হতে পারে।

এর মানে হলো, শুধু পাবলিকলি এক্সপোজড ডেটাবেস নয়, ইন্টারনাল নেটওয়ার্কের রিসোর্সগুলোও যদি সঠিক ভার্সনে আপডেট না থাকে, তবে সেগুলোও হ্যাক হতে পারে।

৫. সিসা (CISA)-এর কঠোর হুঁশিয়ারি

পরিস্থিতির ভয়াবহতা আঁচ করতে পেরে যুক্তরাষ্ট্রের Cybersecurity and Infrastructure Security Agency (CISA) গত ২৯ ডিসেম্বর, ২০২৫-এ তাদের ‘নন এক্সপ্লয়টেড ভালনারেবিলিটি ক্যাটালগ’ (KEV)-এ এই বাগটিকে যুক্ত করেছে।

সিসা স্পষ্টভাবে নির্দেশ দিয়েছে যে, যুক্তরাষ্ট্রের সকল ফেডারেল এজেন্সিকে আগামী ১৯ জানুয়ারি, ২০২৬-এর মধ্যে তাদের সিস্টেম প্যাচ বা আপডেট করতে হবে। যদিও এই নির্দেশটি মার্কিন সরকারি প্রতিষ্ঠানের জন্য, কিন্তু সাইবার সিকিউরিটি এক্সপার্টরা মনে করেন—এটি সারা বিশ্বের প্রাইভেট এবং পাবলিক সেক্টরের জন্য একটি ‘রেড অ্যালার্ট’।

৬. আপনি নিরাপদ কি না? আক্রান্ত ভার্সনগুলো চিনুন

মঙ্গোডিবি কর্তৃপক্ষ দ্রুততার সাথে প্যাচ রিলিজ করেছে। আপনার সার্ভার যদি নিচের ভার্সনগুলোর চেয়ে পুরনো হয়, তবে আপনি বিপদে আছেন:

আপডেট করা আবশ্যক ভার্সনগুলো:

• MongoDB 8.2.3
• MongoDB 8.0.17
• MongoDB 7.0.28
• MongoDB 6.0.27
• MongoDB 5.0.32
• MongoDB 4.4.30

দ্রষ্টব্য: যারা MongoDB Atlas (মঙ্গোডিবির ক্লাউড সার্ভিস) ব্যবহার করছেন, তাদের চিন্তার কিছু নেই। মঙ্গোডিবি কর্তৃপক্ষ ইতিমধ্যেই তাদের ক্লাউড প্ল্যাটফর্মে প্যাচ অ্যাপ্লাই করে দিয়েছে। তবে যারা নিজেদের সার্ভারে (Self-hosted) বা ভিপিএস-এ মঙ্গোডিবি চালাচ্ছেন, তাদের অবিলম্বে ব্যবস্থা নিতে হবে।

এছাড়াও, Ubuntu rsync প্যাকেজটিও যেহেতু zlib ব্যবহার করে, তাই সেখানেও এই প্রভাব পড়তে পারে বলে সতর্ক করা হয়েছে।

৭. সমাধান: এখনই যা করতে হবে (Mitigation Plan)

আপনার সিস্টেমকে সুরক্ষিত রাখতে নিচের পদক্ষেপগুলো এখনই গ্রহণ করুন:

ধাপ ১: আপডেট (সবচেয়ে কার্যকর)

সবার আগে চেক করুন আপনার মঙ্গোডিবি ভার্সন কত। যদি তা ভালনারেবল লিস্টে থাকে, তবে আজই লেটেস্ট ভার্সনে আপডেট করুন।

ধাপ ২: zlib কমপ্রেশন বন্ধ করা (সাময়িক সমাধান)

যদি কোনো কারণে এখনই আপডেট করা সম্ভব না হয়, তবে কনফিগারেশন থেকে zlib কমপ্রেশন বন্ধ করে দিন। এটি হ্যাকারদের রাস্তা বন্ধ করে দেবে।

• mongod বা mongos স্টার্ট করার সময় --networkMessageCompressors ফ্ল্যাগ ব্যবহার করুন এবং সেখান থেকে zlib বাদ দিন।
• অথবা, কনফিগারেশন ফাইলে net.compression.compressors সেকশন এডিট করে snappy বা অন্য কমপ্রেশন মেথড রাখুন, কিন্তু zlib মুছে দিন।

ধাপ ৩: নেটওয়ার্ক রেস্ট্রিকশন

আপনার ডেটাবেস সার্ভার কি পুরো পৃথিবীর জন্য উন্মুক্ত (0.0.0.0/0)? যদি তাই হয়, তবে এখনই ফায়ারওয়াল বা ভিপিএন (VPN) ব্যবহার করে অ্যাক্সেস সীমিত করুন। মঙ্গোডিবি কখনোই পাবলিক ইন্টারনেটে এক্সপোজড রাখা উচিত নয়।

ধাপ ৪: লগ মনিটরিং

সার্ভারের লগ ফাইল চেক করুন। যদি দেখেন অথেন্টিকেশন ছাড়াই অদ্ভুত বা অস্বাভাবিক কানেকশন রিকোয়েস্ট আসছে, তবে বুঝবেন কেউ আপনার সিস্টেমে স্ক্যান চালাচ্ছে বা আক্রমণের চেষ্টা করছে।

উপসংহার: প্রযুক্তির মাশুল ও আমাদের সতর্কতা

CVE-2025-14847 বা মঙ্গোব্লিড আবারও আমাদের মনে করিয়ে দিল যে, সাইবার নিরাপত্তায় ‘নিরাপদ’ বলে চিরস্থায়ী কোনো শব্দ নেই। একটি ছোট কোডিং এরর বা লাইব্রেরি মিসকনফিগারেশন পুরো বিশ্বের ডেটাবেসকে তাসের ঘরের মতো ভেঙে দিতে পারে।

যেখানে ৮৭,০০০-এর বেশি সার্ভার ঝুঁকির মুখে, সেখানে বাংলাদেশও এর বাইরে নয়। আমাদের দেশের অনেক ফিনটেক, ই-কমার্স এবং স্টার্টআপ মঙ্গোডিবি ব্যবহার করে। Bug Mohol-এর পক্ষ থেকে আমরা সকল সিস্টেম আর্কিটেক্ট এবং ডেভপস ইঞ্জিনিয়ারদের অনুরোধ করব—অলসতা না করে এখনই আপনার ইনফ্রাস্ট্রাকচার অডিট করুন। মনে রাখবেন, হ্যাকাররা ছুটির দিনেও কাজ করে, আর তাদের একটি সফল আক্রমণ আপনার বছরের পর বছর ধরে গড়ে তোলা সুনাম নিমিষেই ধুলিসাৎ করে দিতে পারে।

MongoBleed বা CVE-2025-14847 আসলে কী?

এটি মঙ্গোডিবির zlib কমপ্রেশন ফিচারের একটি গুরুতর নিরাপত্তা ত্রুটি (CVSS 8.7)। এই ত্রুটির কারণে হ্যাকাররা কোনো লগইন বা পাসওয়ার্ড ছাড়াই দূর থেকে সার্ভারের মেমোরি লিক করে সংবেদনশীল গোপন তথ্য চুরি করতে পারে।

কোন কোন মঙ্গোডিবি ভার্সন ঝুঁকির মুখে আছে?

আপনার সার্ভারের ভার্সন যদি MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 বা 4.4.30-এর চেয়ে পুরনো হয়, তবে আপনার সিস্টেমটি হ্যাকারদের আক্রমণের ঝুঁকিতে রয়েছে। দ্রুত আপডেট করা জরুরি।

হ্যাকাররা কীভাবে পাসওয়ার্ড ছাড়াই তথ্য চুরি করে?

এটি একটি Unauthenticated Attack। হ্যাকাররা সার্ভারে বিশেষ ধরণের বিকৃত (malformed) প্যাকেট পাঠায়। সার্ভার যখন zlib ব্যবহার করে সেটি খুলতে যায়, তখন মেমোরির বাফার সাইজ ভুল দেখায় এবং মেমোরিতে জমে থাকা অন্য তথ্যের টুকরো (যেমন পাসওয়ার্ড বা API Key) হ্যাকারের কাছে চলে যায়।

সার্ভার আপডেট করা সম্ভব না হলে বাঁচার উপায় কী?

তাৎক্ষণিক সমাধান হিসেবে সার্ভারের কনফিগারেশন থেকে zlib কমপ্রেশন ডিজেবল বা বন্ধ করে দিন। `mongod` চালু করার সময় `--networkMessageCompressors` ফ্ল্যাগ ব্যবহার করে zlib বাদ দিলে হ্যাকাররা এই ত্রুটি ব্যবহার করতে পারবে না।

আমি MongoDB Atlas ব্যবহার করি, আমি কি নিরাপদ?

হ্যাঁ, আপনি নিরাপদ। মঙ্গোডিবি কর্তৃপক্ষ নিশ্চিত করেছে যে তাদের ক্লাউড প্ল্যাটফর্ম MongoDB Atlas-এ ইতিমধ্যেই এই ত্রুটির প্যাচ বা সমাধান প্রয়োগ করা হয়েছে। তাই অ্যাটলাস ব্যবহারকারীদের কোনো পদক্ষেপ নিতে হবে না।

এই আক্রমণের ফলে কী কী তথ্য চুরি হতে পারে?

সার্ভারের Heap Memory-তে থাকা যেকোনো তথ্য চুরি হতে পারে। এর মধ্যে ব্যবহারকারীদের ইউজারনেম, পাসওয়ার্ড, সেশন টোকেন, এবং গুরুত্বপূর্ণ API Keys অন্তর্ভুক্ত। হ্যাকাররা বারবার রিকোয়েস্ট পাঠিয়ে ধাপে ধাপে এসব তথ্য সংগ্রহ করতে পারে।

যুক্তরাষ্ট্রের CISA এই বাগ নিয়ে কী সতর্কতা দিয়েছে?

যুক্তরাষ্ট্রের সাইবার সিকিউরিটি এজেন্সি (CISA) একে তাদের 'অ্যাক্টিভলি এক্সপ্লয়টেড ভালনারেবিলিটি' ক্যাটালগে যুক্ত করেছে। তারা ১৯ জানুয়ারি, ২০২৬-এর মধ্যে সমস্ত ফেডারেল এজেন্সিকে তাদের সিস্টেম প্যাচ করার কড়া নির্দেশ দিয়েছে, যা এর ভয়াবহতা প্রমাণ করে।

আমার সার্ভার হ্যাক হওয়ার চেষ্টা হচ্ছে কি না বুঝব কীভাবে?

আপনার মঙ্গোডিবি সার্ভারের লগ ফাইল চেক করুন। যদি দেখেন কোনো অথেন্টিকেশন বা লগইন ছাড়াই অদ্ভুত বা অস্বাভাবিক কানেকশন রিকোয়েস্ট আসছে এবং বারবার ডিসকানেক্ট হচ্ছে, তবে বুঝবেন কেউ আপনার সিস্টেমে স্ক্যান চালাচ্ছে বা আক্রমণের চেষ্টা করছে।

Related Posts

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন