Ransomware tiếp tục hoành hành: Doanh nghiệp toàn cầu thiệt hại gần 23 triệu USD,…
Trong kỷ nguyên số hóa, nơi các mối đe dọa an ninh mạng không ngừng tiến hóa, việc phát hiện lỗ hổng bảo mật trong các thư viện mã nguồn mở không chỉ là một thành tựu kỹ thuật mà còn là lời cảnh báo cấp thiết cho cộng đồng công nghệ. Gần đây, Phùng Siêu Đạt – một thực tập sinh tại OPSWAT Việt Nam – đã ghi dấu ấn khi phát hiện hai lỗ hổng nghiêm trọng trong Mongoose, một thư viện phổ biến hỗ trợ phát triển ứng dụng Node.js. Trong cuộc phỏng vấn độc quyền với TechTimes, chúng tôi đã trò chuyện với Đạt, cùng các chuyên gia từ OPSWAT – anh Nguyễn Thành Lộc (Trưởng nhóm Kiểm thử bảo mật) và ông Đỗ Công Bằng (Giám đốc Kiểm tra chất lượng cấp cao) – để khám phá câu chuyện đằng sau phát hiện này, mức độ nguy hiểm của các lỗ hổng, và những bài học mà ngành công nghệ cần chú ý.
"Chỉ vài truy vấn là đủ để hacker chiếm quyền kiểm soát máy chủ.”
Nguyễn Thành Lộc
Trưởng nhóm kiểm thử bảo mật - OPSWAT
Từ Tò Mò Học Thuật Đến Phát Hiện Lỗ Hổng Toàn Cầu
Phùng Siêu Đạt, một thực tập sinh trẻ tuổi tham gia chương trình Fellowship Program của OPSWAT Việt Nam, không ngờ rằng sự tò mò của mình về Mongoose – một thư viện quen thuộc từ thời đại học – lại dẫn đến một phát hiện thay đổi cách nhìn về bảo mật mã nguồn mở. “Em đã tiếp cận Mongoose nhiều trong quá trình học lập trình Node.js ở trường,” Đạt chia sẻ với TechTimes. “Khi được tham gia nghiên cứu tại OPSWAT, dưới sự hướng dẫn của các anh trong đội bảo mật, em quyết định đào sâu vào thư viện này để xem liệu có điều gì bất thường không.”
Quá trình nghiên cứu không phải là một hành trình đơn giản. Đạt kể lại: “Thách thức lớn nhất là các lỗ hổng ẩn rất sâu trong mã nguồn. Em phải phân tích từng dòng code của Mongoose, đồng thời nghiên cứu tài liệu từ MongoDB để hiểu toàn bộ luồng xử lý.” Anh dành hàng giờ xem xét cách các hàm trong Mongoose hoạt động, đặc biệt là hàm populate, nơi anh phát hiện lỗ hổng đầu tiên – được định danh là CVE-2024-53900. “Lỗ hổng này cho phép kẻ tấn công thao túng truy vấn gửi đến máy chủ, từ đó thực thi mã độc từ xa và chiếm quyền kiểm soát,” Đạt giải thích ngắn gọn.
Nhưng câu chuyện không dừng lại ở đó. Sau khi báo cáo lỗ hổng cho đội ngũ Mongoose và bản vá đầu tiên (phiên bản 8.8.3) được phát hành, Đạt không hài lòng với việc dừng lại. “Em tiếp tục phân tích bản vá để xem nó có thực sự hiệu quả không,” anh nói. Kết quả là một phát hiện đáng kinh ngạc: bản vá chưa triệt để. “Em tìm ra một kỹ thuật khai thác mới, vượt qua biện pháp phòng thủ ban đầu, và điều này dẫn đến lỗ hổng thứ hai – CVE-2025-23061.” Sự kiên trì của Đạt đã buộc đội ngũ Mongoose phải phát hành bản vá hoàn thiện hơn (8.9.5), bảo vệ hàng triệu hệ thống trên toàn cầu.
100%
Để hiểu rõ hơn về mức độ nghiêm trọng của các lỗ hổng này, TechTimes đã trao đổi với anh Nguyễn Thành Lộc, Trưởng nhóm Kiểm thử bảo mật tại OPSWAT. “Cả hai lỗ hổng đều được đánh giá ở mức nghiêm trọng bởi các tổ chức uy tín như National Vulnerability Database (NVD) và GitHub Advisory,” anh Lộc cho biết. “Điểm CVSS là 9.1 cho CVE-2024-53900 và 9.0 cho CVE-2025-23061 – gần mức tối đa. Điều này phản ánh mức độ nguy hiểm cao.”
“Hàng triệu hệ thống có thể bị ảnh hưởng nếu không vá kịp thời.“ – Phùng Siêu Đạt
Anh Lộc giải thích cách các lỗ hổng có thể bị khai thác: “Với một ứng dụng sử dụng phiên bản Mongoose bị lỗi, hacker chỉ cần gửi vài truy vấn được thiết kế kỹ lưỡng là có thể chiếm quyền kiểm soát máy chủ. Từ đó, họ có thể đánh cắp dữ liệu nhạy cảm, cài đặt mã độc, hoặc xâm nhập sâu hơn vào hệ thống tổ chức.” Anh khuyến nghị độc giả tham khảo blog kỹ thuật của OPSWAT để hiểu rõ hơn về cơ chế khai thác.
Khi được hỏi liệu các lỗ hổng này có thể dẫn đến tấn công mạng quy mô lớn không, anh Lộc khẳng định: “Hoàn toàn có thể. Một khi chiếm được một máy chủ, hacker có thể sử dụng kỹ thuật như APT (Advanced Persistent Threat) để mở rộng phạm vi xâm nhập. Chúng ta đã chứng kiến nhiều cuộc tấn công tương tự trong quá khứ, như vụ SolarWinds, nơi một lỗ hổng trong chuỗi cung ứng phần mềm đã gây thiệt hại cho hàng nghìn tổ chức.”
Với Đạt, mức độ nguy hiểm còn rõ ràng hơn khi anh nhìn vào sự phổ biến của Mongoose. “Thư viện này có hơn 27.000 sao trên GitHub và 2 triệu lượt tải mỗi tuần trên NPM,” anh nói. “Nếu không được vá kịp thời, hàng triệu ứng dụng – từ các website nhỏ đến hệ thống doanh nghiệp lớn – đều có thể bị ảnh hưởng.” Đặc biệt, những ứng dụng không kiểm tra kỹ dữ liệu đầu vào từ người dùng, chẳng hạn như các hệ thống web động sử dụng MongoDB, là mục tiêu dễ dàng nhất.
Phản Ứng Nhanh Chóng Từ OPSWAT Và Cộng Đồng
OPSWAT, với vai trò là tổ chức đứng sau phát hiện này, đã thể hiện sự chuyên nghiệp trong việc xử lý tình huống. Ông Đỗ Công Bằng, Giám đốc Kiểm tra chất lượng cấp cao tại OPSWAT Việt Nam, chia sẻ với TechTimes: “Chúng tôi duy trì một quy trình chủ động để theo dõi và cập nhật thông tin lỗ hổng toàn cầu. Khi Đạt phát hiện vấn đề, chúng tôi ngay lập tức liên hệ với Snyk – một tổ chức chuyên xử lý lỗ hổng mã nguồn mở – để thông báo cho đội ngũ Mongoose.”
Quy trình không chỉ dừng ở việc báo cáo. “Chúng tôi cung cấp chi tiết kỹ thuật và hỗ trợ để họ khắc phục trước khi công bố rộng rãi,” ông Bằng nói. “Đồng thời, OPSWAT cập nhật các giải pháp của mình – như Multiscanning, Sandbox, và Deep CDR – để phát hiện và ngăn chặn khai thác trước khi bản vá chính thức ra mắt.” Điều này giúp giảm thiểu rủi ro cho các khách hàng đang sử dụng phiên bản phần mềm bị lỗi.
Cộng đồng Mongoose cũng phản ứng nhanh chóng. “Snyk và đội ngũ Mongoose rất hợp tác,” Đạt kể lại. “Họ xác minh lỗ hổng, phát hành bản vá 8.8.3 cho CVE-2024-53900, và sau khi em báo cáo CVE-2025-23061, họ tiếp tục tung ra bản 8.9.5.” Hiện tại, người dùng được khuyến cáo cập nhật ngay lên phiên bản mới nhất để bảo vệ hệ thống.
“Chúng tôi không chỉ báo cáo mà còn hỗ trợ để lỗ hổng được vá trước khi hacker khai thác.” – Ông Đỗ Công Bằng
Lời Khuyên Cho Doanh Nghiệp Và Lập Trình Viên
Vậy các công ty đang sử dụng Mongoose nên làm gì? Ông Bằng đưa ra ba khuyến nghị chính: “Thứ nhất, kiểm tra và cập nhật Mongoose lên phiên bản mới nhất. Thứ hai, rà soát định kỳ mã nguồn để phát hiện lỗ hổng không chỉ ở Mongoose mà còn ở các thư viện khác. Thứ ba, áp dụng quản lý rủi ro chuỗi cung ứng với các công cụ quét lỗ hổng để giám sát toàn diện.”
Đạt, từ góc độ một lập trình viên trẻ, bổ sung: “Hãy luôn xác thực và làm sạch dữ liệu đầu vào trước khi đưa vào các hàm của Mongoose hoặc bất kỳ thư viện nào khác. Việc cập nhật thường xuyên cũng rất quan trọng.” Anh nhấn mạnh rằng sự bất cẩn trong xử lý dữ liệu là nguyên nhân chính khiến các ứng dụng trở thành mục tiêu.
Vai Trò Của Đào Tạo Và Nghiên Cứu Bảo Mật
Phát hiện này không chỉ là thành công cá nhân của Đạt mà còn là minh chứng cho hiệu quả của chương trình Fellowship Program tại OPSWAT Việt Nam. “Chương trình tạo cơ hội cho sinh viên thực hành thực tế trên các hệ thống hạ tầng trọng yếu,” ông Bằng giải thích. “Học viên được tái hiện lỗ hổng, thử nghiệm khai thác, và xây dựng chiến lược phòng thủ – tất cả trong môi trường kiểm soát như phòng thí nghiệm của chúng tôi.”
Với Đạt, kinh nghiệm này là bước ngoặt. “Em học được cách phân tích mã nguồn, xây dựng kịch bản tấn công, và báo cáo lỗ hổng một cách chuyên nghiệp,” anh nói. “Nó khơi dậy đam mê nghiên cứu bảo mật ứng dụng, và em dự định tiếp tục theo đuổi lĩnh vực này, đặc biệt là các framework mã nguồn mở.”
Bài Học Lớn Cho Ngành Công Nghệ
Sự kiện này để lại nhiều bài học quan trọng, như anh Lộc chia sẻ với TechTimes. “Thứ nhất, bản vá không phải lúc nào cũng triệt để. Bản 8.8.3 của Mongoose là ví dụ – nó không giải quyết hoàn toàn vấn đề cho đến khi Đạt tìm ra CVE-2025-23061. Các công ty cần kiểm tra lại bản vá một cách độc lập.” Thứ hai, anh nhấn mạnh tầm quan trọng của kiểm tra bảo mật chủ động. “Lỗ hổng được phát hiện qua nghiên cứu, không phải từ một cuộc tấn công thực tế. Điều này cho thấy chúng ta không nên đợi đến khi bị tấn công mới hành động.”
Ông Bằng bổ sung: “Tính minh bạch trong chuỗi cung ứng phần mềm là bắt buộc. Nhiều công ty sử dụng thư viện như Mongoose mà không kiểm soát chặt chẽ. Một SBOM (Software Bill of Materials) có thể giúp họ theo dõi và cập nhật kịp thời.” Cuối cùng, cả ba đồng ý rằng văn hóa bảo mật cần được xây dựng trong đội ngũ kỹ thuật. “Bảo mật không chỉ là nhiệm vụ của chuyên gia, mà mọi lập trình viên đều cần có tư duy này,” anh Lộc nhấn mạnh.
Một lỗ hổng nhỏ trong thư viện lớn có thể gây thảm họa.” – Anh Nguyễn Thành Lộc
Lời Kết: Một Tín Hiệu Đánh Thức
Với sự phổ biến của mã nguồn mở và xu hướng tấn công chuỗi cung ứng ngày càng gia tăng, câu chuyện của Đạt và OPSWAT là một tín hiệu đánh thức. Hai lỗ hổng trong Mongoose không chỉ đe dọa hàng triệu hệ thống mà còn nhắc nhở rằng bảo mật là trách nhiệm chung. Từ sự tò mò của một thực tập sinh đến nỗ lực của một tổ chức toàn cầu, hành trình này đã giúp cộng đồng công nghệ tránh được thảm họa tiềm tàng.
Như Đạt nói: “Nếu không ai tìm ra chúng sớm, hậu quả có thể rất nghiêm trọng.” Với TechTimes, đây là lời khẳng định rằng trong thế giới số, sự chủ động và hợp tác là chìa khóa để giữ an toàn.