Investigadores descubren una vulnerabilidad de amplificación de memoria que permite a un atacante, con una conexión a Internet doméstica estándar, colapsar bases de datos masivas en cuestión de segundos y sin necesidad de autenticación.
El mundo del almacenamiento de bases de datos acaba de recibir una señal de alarma. Hoy, 5 de marzo de 2026, se informa sobre el descubrimiento de una vulnerabilidad de alta severidad que permite a los piratas informáticos colapsar por completo cualquier servidor MongoDB expuesto a Internet utilizando un ancho de banda mínimo.
El fallo, registrado como CVE-2026-25611 (con una puntuación CVSS de 7.5), afecta a todas las versiones de MongoDB donde la compresión está habilitada, lo cual incluye a MongoDB Atlas y viene activado por defecto desde la versión 3.6. El riesgo es masivo: los datos recientes del buscador Shodan indican que más de 207,000 instancias de MongoDB se encuentran actualmente expuestas a la red pública y en riesgo inminente.
La Anatomía del Ataque: 1,027 veces más memoria
El fallo técnico reside específicamente en el mecanismo de compresión del protocolo de cableado (wire protocol) de MongoDB, conocido operativamente como OP_COMPRESSED.
Investigadores de seguridad descubrieron una falla de diseño fatal en cómo se procesan estos paquetes:
- Cuando el servidor recibe un mensaje comprimido, primero lee el valor uncompressedSize (el cual es controlado por el atacante).
- El sistema asigna esa cantidad de memoria en el servidor antes de verificar siquiera cuál es el tamaño real descomprimido del paquete.
- Esto permite a un atacante enviar un diminuto paquete comprimido en formato zlib de apenas 47 KB, afirmando falsamente que su tamaño descomprimido es de 48 MB.
- El servidor de MongoDB asignará ciegamente esos 48 MB de memoria RAM por cada conexión, lo que resulta en una brutal proporción de amplificación de memoria de 1,027:1 a favor del atacante.
Impacto: Un “Kernel Kill” en Segundos
Al abrir múltiples conexiones simultáneas de este tipo, el atacante agota rápidamente toda la memoria RAM disponible del servidor. Esto obliga al sistema operativo a intervenir, activando el protocolo de seguridad del núcleo que elimina el proceso por falta de memoria (un evento conocido como OOM kernel kill) dejándolo fuera de línea con un código de salida 137.
La eficiencia de este ataque de Denegación de Servicio (DoS) es aterradora. Las pruebas realizadas por investigadores demostraron lo siguiente:
- Un servidor pequeño con 512 MB de RAM se bloquea en aproximadamente dos segundos utilizando solo 10 conexiones y enviando apenas 457 KB de datos.
- Una instancia de 1 GB sucumbe ante 25 conexiones en solo tres segundos.
- Incluso una base de datos empresarial robusta equipada con 64 GB de RAM puede ser desconectada por completo en menos de un minuto usando aproximadamente 1,363 conexiones y apenas 64 MB de tráfico malicioso.
Parches y Soluciones de Emergencia
Para mitigar esta severa amenaza, los administradores deben actualizar inmediatamente su infraestructura a las versiones parcheadas oficiales de MongoDB: 8.2.4, 8.0.18 o 7.0.29.
Si la actualización no es posible de inmediato, las firmas de seguridad recomiendan las siguientes soluciones alternativas:
- Desactivar la compresión: Puedes apagarla por completo iniciando el servicio con el parámetro –networkMessageCompressors=disabled.
- Control de conexiones: Implementar límites estrictos utilizando el parámetro maxIncomingConnections y monitorear grandes volúmenes de conexiones TCP hacia el puerto 27017 que permanezcan inactivas.
Aislar la red: Restringir el acceso de red a la base de datos mediante cortafuegos y evitar rotundamente permitir el acceso a redes públicas (0.0.0.0/0) en clústeres de MongoDB Atlas.
