Hai lỗ hổng bảo mật nghiêm trọng trong Mongoose có thể bị tin tặc khai thác để thực thi mã độc và đánh cắp dữ liệu, nhấn mạnh tầm quan trọng của việc cập nhật bản vá kịp thời.
Hai lỗ hổng bảo mật nghiêm trọng trong thư viện Mongoose dành cho MongoDB có thể bị kẻ tấn công khai thác để xâm nhập hệ thống, thực thi mã độc và đánh cắp dữ liệu.
Tổng quan về Mongoose
Mongoose là một thư viện hỗ trợ quản lý dữ liệu trong MongoDB, đặc biệt hữu ích khi làm việc với Node.js. Thư viện này hoạt động như một lớp trung gian, giúp chuyển đổi đối tượng JavaScript thành tài liệu MongoDB theo một cấu trúc xác định (schema). Nhờ vậy, dữ liệu được tổ chức rõ ràng, dễ dàng kiểm soát và xác thực.
Ngoài ra, Mongoose còn cung cấp nhiều tính năng mạnh mẽ như middleware (hỗ trợ thực thi các đoạn mã trước hoặc sau khi xử lý dữ liệu) và hệ thống truy vấn linh hoạt, giúp lập trình viên tương tác với MongoDB một cách hiệu quả. Với hơn 27.000 sao trên GitHub, Mongoose đã trở thành một công cụ phổ biến trong cộng đồng lập trình.
Phát hiện lỗ hổng bảo mật nghiêm trọng
Nhằm phát triển nguồn nhân lực an ninh mạng chất lượng cao, OPSWAT tổ chức chương trình nghiên cứu và thực tập dành cho sinh viên năm cuối hoặc mới tốt nghiệp. Thông qua chương trình này, thực tập sinh có cơ hội nghiên cứu và phân tích các lỗ hổng bảo mật, làm việc cùng các chuyên gia để đối phó với những thách thức thực tế như phát hiện mã độc, bảo mật dữ liệu và ngăn chặn tấn công mạng.
Trong quá trình nghiên cứu, thực tập sinh Phùng Siêu Đạt đã lựa chọn phân tích Mongoose do mức độ phổ biến của thư viện này trong hệ sinh thái phần mềm.
Lỗ hổng CVE-2024-53900
Ngày 7/11/2024, Đạt đã phát hiện một lỗ hổng nghiêm trọng trong Mongoose liên quan đến giá trị $where. Lỗ hổng này cho phép tin tặc thực thi mã từ xa (RCE) trên máy chủ ứng dụng Node.js.
Ngay sau khi phát hiện, Đạt đã báo cáo vấn đề với nhóm phát triển Mongoose. Ngày 26/11, phiên bản 8.8.3 được phát hành để khắc phục lỗ hổng. Sau đó, thông tin về lỗ hổng này đã được đăng trên Cơ sở dữ liệu Lỗ hổng bảo mật Quốc gia Hoa Kỳ (NVD) với mã định danh CVE-2024-53900.
Lỗ hổng CVE-2025-23061
Khi kiểm tra bản vá 8.8.3, Đạt tiếp tục phát hiện rằng lỗ hổng chưa được xử lý triệt để. Kẻ tấn công vẫn có thể khai thác một phương pháp khác để xâm nhập hệ thống và đánh cắp dữ liệu.
Đạt đã báo cáo phát hiện này cho Tidelift, và đến ngày 13/1/2025, phiên bản Mongoose 8.9.5 được phát hành với bản vá hoàn chỉnh. Hai ngày sau, CVE-2025-23061 được công bố trên NVD, nhấn mạnh mức độ nghiêm trọng của lỗ hổng mới.
Hành động cần thiết cho lập trình viên
Bước 1: Cập nhật phiên bản mới nhất
Mongoose đã vá các lỗ hổng trong các phiên bản mới nhất. Nếu đang sử dụng thư viện này, hãy cập nhật ngay lập tức để tránh rủi ro.
Bước 2: Kiểm tra danh sách thành phần phần mềm (SBOM)
Lập trình viên cần kiểm tra SBOM của mình – danh sách các công cụ và thư viện đang sử dụng – để đảm bảo không có lỗ hổng bảo mật nào bị bỏ sót. Việc giám sát SBOM giúp phát hiện và xử lý các rủi ro tiềm ẩn trong quá trình phát triển phần mềm.
Bước 3: Bảo vệ dữ liệu
Các lỗ hổng này có thể bị lợi dụng để đánh cắp dữ liệu. Do đó, cần thường xuyên kiểm tra cơ sở dữ liệu để phát hiện các hoạt động đáng ngờ. Một số giải pháp bảo mật hữu ích bao gồm:
- Deep CDR™: Loại bỏ mối đe dọa từ tệp tin bằng cách tái tạo nội dung.
- MetaScan™ Multiscanning: Sử dụng hơn 30 công cụ để phát hiện mã độc.
- MetaDefender Sandbox: Kiểm tra hành vi của tệp trong môi trường an toàn.
Cơ sở dữ liệu chứa nhiều thông tin quan trọng, và nếu bị khai thác, hậu quả có thể rất nghiêm trọng. Do đó, cần kết hợp các biện pháp bảo mật để bảo vệ toàn diện hệ thống.
Quản lý bảo mật phần mềm giống như lắp ráp LEGO – nếu một mảnh ghép bị lỗi, cả hệ thống có thể bị ảnh hưởng. Do đó, các lập trình viên cần chú ý cập nhật công cụ và kiểm tra các bản vá lỗi kịp thời để đảm bảo an toàn cho ứng dụng của mình.
Trong hơn 20 năm qua, OPSWAT đã dẫn đầu trong lĩnh vực an ninh mạng, cung cấp các giải pháp bảo vệ hệ thống công nghệ thông tin (IT), công nghệ vận hành (OT) và điều khiển công nghiệp (ICS) cho các cơ sở hạ tầng quan trọng.
Với triết lý “Không tin tưởng bất kỳ tệp tin hay thiết bị nào”, OPSWAT áp dụng công nghệ zero-trust và các giải pháp bảo mật tiên tiến để bảo vệ dữ liệu, hệ thống mạng và thiết bị khỏi các mối đe dọa, bao gồm cả tấn công zero-day và phần mềm độc hại.