Thực tập sinh Phùng Siêu Đạt của OPSWAT đã lựa chọn phân tích Mongoose và vừa phát hiện hai lỗ hổng bảo mật nghiêm trọng trong phần mềm lớp trung gian (middleware) này. Đáng nguy hiểm, lỗ hổng của Mongoose có thể giúp tin tặc xâm nhập vào ứng dụng, thực thi mã độc và đánh cắp dữ liệu. 

Cụ thể, trong quá trình phân tích chuyên sâu thư viện này, Đạt đã phát hiện một lỗ hổng nghiêm trọng trong Mongoose là CVE-2024-53900. Lỗ hổng này cho phép kẻ tấn công khai thác giá trị $where, có thể dẫn đến Thực thi Mã Từ xa (Remote Code Execution - RCE) trên máy chủ ứng dụng Node.js.

Sau đó, Đạt đã báo cáo ngay cho nhóm phát triển Mongoose. Ngày 26/11/2024, một bản vá đã được phát hành trong phiên bản 8.8.3 và lỗ hổng này được công bố trên Cơ sở dữ liệu Lỗ hổng bảo mật Quốc gia của Hoa Kỳ (NVD) với mã định danh CVE-2024-53900.

Tuy nhiên, khi phân tích bản vá 8.8.3, Đạt tiếp tục phát hiện lỗ hổng này chưa được xử lý triệt để. Tin tặc có thể sử dụng một phương pháp khác để vượt qua bản vá và tấn công máy chủ ứng dụng web, từ đó đánh cắp dữ liệu hoặc kiểm soát ứng dụng.

Theo đó, ngày 13/1/2025, Mongoose phát hành phiên bản 8.9.5, giới thiệu một bản vá nâng cao nhằm khắc phục triệt để lỗ hổng. Ngày 15/1/2025, CVE-2025-23061 được công bố trên NVD, nhấn mạnh mức độ nghiêm trọng của lỗ hổng mới được phát hiện.

Thời gian qua, OPSWAT đã tổ chức chương trình nghiên cứu và thực tập cho sinh viên năm cuối hoặc mới tốt nghiệp tại Việt Nam. Chương trình này mang đến cho sinh viên cơ hội phân tích và giải quyết các lỗ hổng an ninh mạng, thực hành cùng các chuyên gia bảo mật của OPSWAT để đối phó với các thách thức thực tế như phát hiện mã độc, bảo mật tệp tin và phòng chống tấn công mạng cho cơ sở hạ tầng trọng yếu.

Trong chương trình này, các thực tập sinh có nhiệm vụ nghiên cứu, tái tạo các lỗ hổng bảo mật (CVE) đã biết trên nhiều phần mềm, thư viện và hệ điều hành khác nhau.

Theo khuyến cáo của OPSWAT Việt Nam, các lập trình viên làm việc trên môi trường Mongoose cần thực hiện cập nhật bản vá ngay lập tức để khắc phục tạm thời 2 lỗ hổng CVE-2024-53900 và CVE-2025-23061 trên. 

Đồng thời, kiểm tra các công cụ. Các lập trình viên nên kiểm tra danh sách thành phần phần mềm (SBOM - Software Bill of Materials). Danh sách này gồm tất cả các công cụ và mã nguồn đang được sử dụng để đảm bảo không có lỗi bảo mật nào khác. SBOM giúp minh bạch các thành phần và phụ thuộc bên trong phần mềm, đảm bảo rằng mọi lỗ hổng đều được xác định và xử lý.

Trong môi trường phát triển hiện đại, việc sử dụng nhiều công cụ và thư viện của bên thứ ba làm tăng độ phức tạp, khiến vòng đời phát triển phần mềm (SDLC) khó kiểm soát hơn. Nếu không liên tục giám sát SBOM, các tổ chức có nguy cơ bỏ sót những thành phần lỗi thời hoặc dễ bị tấn công, khiến ứng dụng trở nên kém an toàn. Việc quét SBOM chủ động giúp quản lý lỗ hổng hiệu quả, đảm bảo an ninh luôn là một phần cốt lõi trong quy trình phát triển phần mềm..

“Tin tặc có thể lợi dụng những lỗ hổng này để xâm phạm dữ liệu của bạn, vì dữ liệu của bạn an toàn tại thời điểm lưu trữ không có nghĩa là nó luôn được bảo vệ. Hãy quét cơ sở dữ liệu thường xuyên để phát hiện những thay đổi bất thường hoặc lỗ hổng bảo mật”, đại diện OPSWAT Việt Nam chia sẻ.

Các công cụ như sandboxing và quét tập tin là những phương pháp hiệu quả để phát hiện các hành vi đáng ngờ. Chẳng hạn như Deep CDR làm sạch và tái tạo tệp tin để loại bỏ mọi mối đe dọa tiềm ẩn; MetaScan Multiscanning sử dụng hơn 30 công cụ nhận dạng mã độc để phát hiện cả mối đe dọa; MetaDefender Sandbox phân tích hành vi đáng ngờ của tập tin trong một môi trường an toàn.

Được biết, Mongoose là một thư viện giúp quản lý dữ liệu trong MongoDB dễ dàng hơn khi làm việc với ứng dụng Node.js. Nó hoạt động như một lớp trung gian (middleware) cho phép chạy các đoạn code trước hoặc sau khi xử lý dữ liệu. Mongoose cho phép chuyển đổi các đối tượng JavaScript thành tài liệu MongoDB theo một cấu trúc có sẵn (schema). Nhờ đó, dữ liệu được tổ chức rõ ràng hơn, dễ kiểm soát và xác thực.

Thực tế, Mongoose cung cấp nhiều tính năng mạnh mẽ và hệ thống truy vấn linh hoạt, giúp lập trình viên làm việc với MongoDB hiệu quả hơn. Nhờ sự tiện lợi này, Mongoose đã trở thành một công cụ phổ biến, thu hút rất nhiều lập trình viên trên toàn thế giới tin dùng.