אם אי פעם השתמשתם באפליקציה או באתר אינטרנט, יש סיכוי טוב שהאנשים שבנו אותו השתמשו ושילבו כלים מרובים כדי לגרום לו לעבוד בצורה חלקה. שני כלים כאלה הם MongoDB , מערכת פופולרית לפיתוח מסדי נתונים, ו- Mongoose , ספרייה נפוצה של צד שלישי המסייעת לאפליקציות חיצוניות "לדבר" עם MongoDB. אבל מה קורה כאשר האקרים מוצאים דרכים להתגנב דרך הכלים האלה?
גלו כיצד חוקר בתוכנית המלגות OPSWAT בתחום אבטחת הסייבר חשף את הפגיעות ועבד בשיתוף פעולה הדוק עם מפתחי Mongoose כדי לתקן אותה במהירות , לא רק פעם אחת, אלא פעמיים.
מה הבעיה?
גורמי איום מחפשים כל הזמן דרכים לנצל פגמי קידוד או "באגים" בתוכנה. בחלק מהגרסאות של Mongoose יש באגים שיכולים לתת להאקרים דרך לפרוץ לאפליקציות. באגים אלה יכולים לאפשר להם:
- הטמע קוד מסוכן בתוך מסד הנתונים.
- גניבת או השחתת נתונים המאוחסנים ב-MongoDB.
למה זה משנה?
עסקים רבים משתמשים ב-Mongoose וב-MongoDB כדי לבנות את האפליקציות שלהם. אם האקרים יפרצו, הם עלולים לגרום לבעיות פונקציונליות חמורות, וגרוע מכך, לסכן נתונים קריטיים של גניבה, מניפולציה או הרס.
שני הבאגים הגדולים: מה שאתם צריכים לדעת
1. CVE-2024-53900
באג זה מתרחש עקב טיפול שגוי באופרטור השאילתה $where ב-Mongoose. כתוצאה מכך, האקרים יכולים לעקוף את מגבלות ה-JavaScript בצד השרת של MongoDB ולבצע ביצוע קוד מרחוק (RCE) בשרת היישומים Node.js. האקרים יכולים להערים על המערכת ולגרום לה להריץ קוד זדוני, כלומר הם יכולים להשתלט על שרת יישומי האינטרנט ולבצע פעולות לא מורשות, כגון שינוי או גניבת נתונים.
2. CVE-2025-23061
באג ישן זה לא תוקן לחלוטין בתיקון הראשוני, ולכן הוא ממשיך להוות בעיה. האקרים יכולים להשתמש בגישה שונה כדי לעקוף את התיקון ועדיין לפגוע בשרת יישומי האינטרנט, מה שמאפשר להם לגנוב נתונים או להשתלט על היישום.
מה צריכים לעשות מפתחים?
שלב 1: עדכן את Mongoose עכשיו
Mongoose התחייבה לתקן את שני הבאגים בגרסאות החדשות ביותר של התוכנה שלה. אם אתם משתמשים ב-Mongoose, עדכנו אותה מיד לגרסה העדכנית ביותר.
שלב 2: ביקורת הכלים שלך
מפתחים צריכים לסרוק Bill of Materials (SBOM) Software (SBOM) שלהם - רשימה של כל הכלים והקוד שהם משתמשים בהם - כדי לוודא שאין באגים אחרים.
SBOM מספק שקיפות לגבי הרכיבים והתלות בתוך התוכנה, ומבטיח שכל פגיעויות מזוהות ומטופלות. בסביבות פיתוח מודרניות, השימוש בכלי תוכנה מרובים וספריות של צד שלישי מכניס מורכבות משמעותית, מה שמקשה על שמירה על מחזור חיים של פיתוח תוכנה (SDLC). ללא ניטור מתמיד של ה-SBOM, ארגונים מסתכנים בהתעלמות מרכיבים מיושנים או פגיעים, מה שמותיר את היישומים שלהם חשופים להתקפה ואת הנתונים שלהם בסיכון. סריקת SBOM פרואקטיבית מסייעת לייעל את ניהול הפגיעויות, ומבטיחה שהאבטחה תישאר חלק בלתי נפרד מה-SDLC.
שלב 3: הגן על הנתונים שלך
האקרים עלולים להשתמש באגים אלה כדי להתעסק עם הנתונים שלך. רק בגלל שהם היו בטוחים כשאחסנת אותם, זה לא מבטיח שהם נשארו ללא שינוי. סריקת מסד הנתונים שלך לאיתור שינויים או פגיעויות יכולה לעזור לשמור על אבטחת הדברים. כלים כמו ארגז חול וסריקת קבצים הם דרכים מצוינות לזהות כל דבר חשוד.
OPSWAT טכנולוגיות Deep CDR™, Metascan™ Multiscanning ו- Sandbox של חברת מספקות יכולות סריקה רב-שכבתיות עבור נתונים במנוחה, כולל מסדי נתונים רגישים כמו MongoDB. Deep CDR מנקה קבצים על ידי שחזורם לגרסאות בטוחות ונקיות, בעוד ש-Metascan Multiscanning ממנף 30+ מנועי אנטי-וירוס כדי לזהות איומים ידועים ולא ידועים. MetaDefender Sandbox מוסיף שכבת אבטחה נוספת על ידי ניתוח התנהגות זדונית פוטנציאלית בסביבה מבוקרת.
סריקת MongoDB היא קריטית מכיוון שמסדי נתונים מאחסנים לעתים קרובות כמויות גדולות של מידע רגיש, ופגיעויות יכולות לשמש כנקודות כניסה עבור תוקפים, ולסכן את שלמות הנתונים ואת אבטחתם. שילוב טכנולוגיות אלו מבטיח הגנה מקיפה מפני איומים נסתרים.
למה זה קורה?
בניית אפליקציות היא כמו בנייה עם לבני לגו - משתמשים בהרבה חלקים קטנים כדי ליצור משהו גדול. אבל אם אפילו לבנה אחת נשברת, הכל יכול להתפרק. זה מה שקורה כשמפתחים משתמשים בכלים כמו Mongoose או MongoDB אבל לא בודקים עדכונים או תיקונים. זו לא אשמתם, אבל זה שיעור מדוע שמירה על כלים מעודכנים כל כך חשובה.
איך נוכל לעזור?
OPSWAT מתמחה בטכנולוגיות ופתרונות המזהים תוכנות זדוניות ובאגים כמו אלה, ועוזרים לעסקים להישאר בטוחים. אם אתם מפתחים, אנו יכולים לעזור לכם לסרוק את האפליקציות והנתונים שלכם לאיתור סיכונים, לשמור על הכלים שלכם מעודכנים ולהגן על המידע שלכם מפני האקרים.
המסקנה הגדולה
באגים בתוכנה כמו Mongoose אולי נשמעים כמו בעיה קטנה, אבל הם יכולים להיות בעלי השפעה אדוות אם האקרים מוצאים אותם ומשתמשים בהם ראשונים. מפתחים צריכים להתמקד בארבעה דברים מרכזיים כדי להישאר צעד אחד קדימה:
- להבין את כל הכלים והספריות המשמשים בבניית התוכנה שלהם.
- עדכנו את הכלים האלה.
- בדקו את רכיבי התוכנה של האפליקציה שלהם לאיתור סיכונים.
- סרוק את הנתונים שלהם לאיתור כל דבר חריג או זדוני.
חיזוק תרבות של אבטחת סייבר
רוצים ללמוד עוד על איך הסטודנטים בתוכנית המלגות שלנו גילו - וסייעו לתקן - את תקלות ה-CVE הללו? קבלו את כל הפרטים וקראו על האופן שבו התוכנית תורמת לקהילת הסייבר העולמית.
אם אתם מפתחים או בעלי עסקים, עכשיו זה הזמן לוודא שהאפליקציות והנתונים שלכם מוגנים.
בין אם מדובר ב-SBOM או בזיהוי ומניעת איומים רב-שכבתיים הנמצאים ב- MetaDefender Core , המומחים שלנו מוכנים להראות לכם מדוע. OPSWAT זוכה לאמון גלובלי בהגנה על חלק מהסביבות הקריטיות ביותר מפני איומים.
רוצה ללמוד איך OPSWAT יכולים להגן על הסביבה שלך מפני איומים מתעוררים?
