Mới đây, một thực tập sinh tham gia chương trình Nghiên cứu lỗ hổng bảo mật của OPSWAT tại Việt Nam đã phát hiện hai lỗ hổng bảo mật nghiêm trọng (CVE) trên Mongoose. Hai CVE này có thể bị tin tặc khai thác để xâm nhập vào ứng dụng, thực thi mã độc và đánh cắp dữ liệu, gây ảnh hưởng lớn đến các hệ thống sử dụng Mongoose trên toàn thế giới.
Mongoose là một thư viện ODM phổ biến, giúp quản lý dữ liệu trong MongoDB dễ dàng hơn khi làm việc với ứng dụng Node.js. Nó hoạt động như một lớp trung gian, cho phép chuyển đổi các đối tượng JavaScript thành tài liệu MongoDB theo một cấu trúc có sẵn (schema). Nhờ đó, dữ liệu được tổ chức rõ ràng hơn, dễ kiểm soát và xác thực.
Mongoose cũng cung cấp nhiều tính năng mạnh mẽ như middleware (cho phép chạy các đoạn code trước hoặc sau khi xử lý dữ liệu) và hệ thống truy vấn linh hoạt, giúp lập trình viên làm việc với MongoDB hiệu quả hơn. Nhờ sự tiện lợi và mạnh mẽ, Mongoose đã trở thành một công cụ phổ biến, thu hút hơn 27K sao trên GitHub, được nhiều lập trình viên trên toàn thế giới tin dùng.
Hiện Mongoose được sử dụng rộng rãi bởi nhiều công ty công nghệ lớn như Netflix, Uber, Airbnb, LinkedIn, Medium, cùng hàng nghìn lập trình viên khác.
Quá trình phát hiện hai lỗ hổng bảo mật Mongoose của thực tập sinh tại OPSWAT Việt Nam
Với mục tiêu phát triển nguồn nhân lực chất lượng cao ngành An ninh mạng cho Việt Nam và thế giới, OPSWAT tổ chức chương trình nghiên cứu và thực tập cho sinh viên năm cuối hoặc mới tốt nghiệp tại Việt Nam. Chương trình này mang đến cho sinh viên cơ hội phân tích và giải quyết các lỗ hổng an ninh mạng, và thực hành cùng các chuyên gia bảo mật của OPSWAT để đối phó với các thách thức thực tế như phát hiện mã độc, bảo mật tệp tin và phòng chống tấn công mạng cho cơ sở hạ tầng trọng yếu.
Trong chương trình này, các thực tập sinh có nhiệm vụ nghiên cứu, tái tạo các lỗ hổng bảo mật (CVE) đã biết trên nhiều phần mềm, thư viện và hệ điều hành khác nhau. Phùng Siêu Đạt, một trong số thực tập sinh xuất sắc tại OPSWAT, đã lựa chọn phân tích Mongoose do mức độ phổ biến rộng rãi của nó trong các hệ thống thư viện kỹ thuật phần mềm.
Phát hiện CVE-2024-53900 – Ngày 7/11/2024, trong quá trình phân tích chuyên sâu thư viện này, Phùng Siêu Đạt đã phát hiện một lỗ hổng nghiêm trọng trong Mongoose. Lỗ hổng này cho phép kẻ tấn công khai thác giá trị $where, có thể dẫn đến Thực thi Mã Từ xa (Remote Code Execution – RCE) trên máy chủ ứng dụng Node.js. Sau khi phát hiện vấn đề, Đạt đã báo cáo ngay cho nhóm phát triển Mongoose. Ngày 26/11, một bản vá đã được phát hành trong phiên bản 8.8.3, và lỗ hổng này được công bố trên Cơ sở dữ liệu Lỗ hổng bảo mật Quốc gia của Hoa Kỳ (NVD) với mã định danh CVE-2024-53900.
Phát hiện CVE-2025-23061 – Tuy nhiên, khi phân tích bản vá 8.8.3, Đạt tiếp tục phát hiện lỗ hổng này chưa được xử lý triệt để. Tin tặc có thể sử dụng một phương pháp khác để vượt qua bản vá và tấn công máy chủ ứng dụng web, từ đó đánh cắp dữ liệu hoặc kiểm soát ứng dụng. Một báo cáo bảo mật chi tiết được gửi đến Tidelift. Ngày 13/1/2025, Mongoose phát hành phiên bản 8.9.5, giới thiệu một bản vá nâng cao nhằm khắc phục triệt để lỗ hổng. Ngày 15/1/2025, CVE-2025-23061 được công bố trên NVD, nhấn mạnh mức độ nghiêm trọng của lỗ hổng mới được phát hiện.
Các lập trình viên sử dụng Mongoose cần làm gì ngay lúc này?
Bước 1: Cập nhật bản vá ngay lập tức. Mongoose đã cam kết khắc phục cả hai lỗi trên trong các phiên bản mới nhất. Nếu bạn đang sử dụng Mongoose, hãy cập nhật ngay lập tức lên phiên bản mới nhất.
Bước 2: Kiểm tra các công cụ. Các lập trình viên nên kiểm tra Danh sách thành phần phần mềm (SBOM – Software Bill of Materials) của họ – tức là danh sách tất cả các công cụ và mã nguồn đang được sử dụng – để đảm bảo không có lỗi bảo mật nào khác.
SBOM giúp minh bạch các thành phần và phụ thuộc bên trong phần mềm, đảm bảo rằng mọi lỗ hổng đều được xác định và xử lý. Trong môi trường phát triển hiện đại, việc sử dụng nhiều công cụ và thư viện của bên thứ ba làm tăng độ phức tạp, khiến vòng đời phát triển phần mềm (SDLC) khó kiểm soát hơn. Nếu không liên tục giám sát SBOM, các tổ chức có nguy cơ bỏ sót những thành phần lỗi thời hoặc dễ bị tấn công, khiến ứng dụng trở nên kém an toàn. Việc quét SBOM chủ động giúp quản lý lỗ hổng hiệu quả, đảm bảo an ninh luôn là một phần cốt lõi trong quy trình phát triển phần mềm.
Bước 3: Bảo vệ dữ liệu của bạn. Tin tặc có thể lợi dụng những lỗ hổng này để xâm phạm dữ liệu của bạn. Chỉ vì dữ liệu của bạn an toàn tại thời điểm lưu trữ không có nghĩa là nó luôn được bảo vệ. Hãy quét cơ sở dữ liệu thường xuyên để phát hiện những thay đổi bất thường hoặc lỗ hổng bảo mật.
Các công cụ như sandboxing và quét tập tin là những phương pháp hiệu quả để phát hiện các hành vi đáng ngờ. OPSWAT cung cấp các giải pháp bảo vệ dữ liệu nhiều lớp như:
Theo các chuyên gia bảo mật, việc quét MongoDB rất quan trọng vì cơ sở dữ liệu thường chứa một lượng lớn thông tin nhạy cảm. Nếu bị khai thác, dữ liệu có thể bị đánh cắp hoặc phá hủy. Kết hợp các công nghệ này giúp bảo vệ toàn diện khỏi những mối đe dọa ẩn giấu.
Xây dựng ứng dụng cũng giống như lắp ráp LEGO – bạn sử dụng nhiều mảnh ghép nhỏ để tạo ra một hệ thống lớn. Nhưng nếu chỉ một mảnh bị lỗi, toàn bộ cấu trúc có thể sụp đổ. Điều này xảy ra khi các lập trình viên sử dụng các công cụ như Mongoose hoặc MongoDB mà không kiểm tra các bản cập nhật hoặc bản vá lỗi. Đây không phải là lỗi của họ, nhưng là một bài học quan trọng về lý do tại sao việc cập nhật công cụ là điều tối quan trọng.
Theo báo cáo từ công ty nghiên cứu thị trường Omdia, trong năm 2024, Samsung đạt 28,3% thị phần TV toàn cầu, tiếp tục duy trì vị thế số 1 mà hãng đã nắm giữ từ năm 2006. Thành công này đến từ chiến lược tập trung vào dòng TV cao cấp, TV cỡ siêu lớn cùng các công nghệ tiên tiến ứng dụng AI.
Trường Đại học FPT đã tổ chức sự kiện FPTU GenAI Day 2025, mang công nghệ AI đến với đông đảo học sinh trải nghiệm thực tiễn.
Schneider Electric và Công ty TNHH Van Der Leun Việt Nam vừa ký kết thỏa thuận hợp tác thực hiện chiến lược xanh hóa ngành đóng tàu và cảng biển tại Việt Nam.
Một cuộc khảo sát gần đây cho thấy Hàn Quốc đang tụt lại phía sau Trung Quốc trong lĩnh vực sản xuất chip, đặc biệt là trong các quy trình sản xuất tiên tiến.
Sàn giao dịch tiền điện tử Bybit đã trở thành nạn nhân của vụ trộm tiền điện tử lớn nhất trong lịch sử, trong một vụ tấn công tinh vi.
Ngày 22/02/2025, Công ty CP Môi Trường Việt Úc và một số doanh nghiệp trên địa bàn đã đồng hành, hỗ trợ cho nhóm học sinh Trường THPT Nguyễn Thượng Hiền triển khai chương trình “Chung tay góp sức thu gom rác thải điện tử – bảo vệ môi trường”. Chương trình do học sinh Nguyễn Cao Sơn, học sinh lớp 11 Trường THPT Nguyễn Thượng Hiền, TPHCM xây cùng các bạn xây dựng và phụ trách.
Tài khoản Instant Digital trên Weibo cho biết iPhone 17 Pro có thể sẽ được trang bị tính năng sạc không dây ngược dành riêng cho các thiết bị Apple khác.
Theo tổng hợp tại Báo cáo Lương và Thị trường Lao động 2025 của Navigos Group, thị trường lao động Việt Nam năm 2024 ghi nhận những tín hiệu tích cực.
Gần đây, một số CEO của các công ty điện tử tiêu dùng lớn tại Trung Quốc đã có cuộc gặp gỡ với Chủ tịch Trung Quốc Tập Cận Bình tại một diễn đàn quan trọng.
Trong năm 2024, Kaspersky đã phát hiện 86.233.675 sự cố liên quan đến mối đe dọa tấn công vào thiết bị nội bộ tại Việt Nam. Con số này giảm đáng kể so với 114.802.178 sự cố của năm trước. Điều này đồng nghĩa với việc có đến 52,1% người dùng Việt Nam đã trở thành mục tiêu của các mối đe dọa này.