كشف تقرير حديث صادر عن شركة الأمن السيبراني Wiz عن استغلال ثغرة أمنية خطيرة وغير مصححة في منصة Gogs، مما أدى إلى اختراق أكثر من 700 نسخة متاحة عبر الإنترنت من الخدمة.
وتم تحديد هذه الثغرة، التي تحمل الرمز CVE-2025-8110، بدرجة خطورة عالية (8.7 على مقياس CVSS). وتسمح الثغرة بإمكانية الكتابة فوق الملفات في واجهة برمجة التطبيقات لتحديث الملفات ضمن خدمة Gogs المستضافة ذاتيًا والقائمة على لغة Go. وبحسب Wiz، فإن فريق Gogs يعمل حاليًا على تطوير إصلاح لهذه المشكلة.
استغلال ثغرة Gogs الأمنية
تُعد هذه الثغرة تجاوزًا لثغرة سابقة تم إصلاحها، وهي ثغرة تنفيذ التعليمات البرمجية عن بُعد (CVE-2024-55947) والتي كانت تحمل أيضًا درجة خطورة 8.7. تتيح الثغرة الجديدة للمهاجم زرع ملف في مسار عشوائي على الخادم، ومن ثم اكتساب وصول SSH إلى النظام.
وأوضح التقرير أن آلية الإصلاح التي طبقتها Gogs سابقًا لمعالجة CVE-2024-55947 يمكن تجاوزها. يأتي ذلك نتيجة لمعالجة Gogs للروابط الرمزية (symbolic links) في مستودعات Git، حيث يمكن لهذه الروابط أن تشير إلى ملفات أو مجلدات خارج المستودع الأصلي. إضافة إلى ذلك، فإن واجهة برمجة التطبيقات الخاصة بـ Gogs تسمح بتعديل الملفات خارج بروتوكول Git القياسي.
آلية عمل الثغرة
لهذه الأسباب، يمكن للمهاجم استغلال هذه الثغرة لتحقيق تنفيذ تعليمات برمجية عشوائية من خلال عملية تتكون من أربع خطوات رئيسية.
تتضمن الخطوات إنشاء مستودع Git قياسي، ثم إيداع رابط رمزي يشير إلى ملف حساس. بعد ذلك، يتم استخدام واجهة برمجة التطبيقات PutContents لكتابة بيانات إلى الرابط الرمزي، مما يؤدي إلى الكتابة فوق الملف المستهدف خارج المستودع. وأخيرًا، يتم استبدال ملف “.git/config”، وبالتحديد “sshCommand”، لتنفيذ أوامر عشوائية.
وبحسب ما ورد في التقرير، فقد تم اكتشاف أن البرمجيات الخبيثة المستخدمة في الهجمات مبنية على إطار عمل Supershell، وهو نظام قيادة وتحكم مفتوح المصدر غالبًا ما تستخدمه مجموعات القرصنة الصينية. يمكن لهذا الإطار تأسيس اتصال SSH عكسي بخادم يتحكم فيه المهاجم.
وأشارت Wiz إلى أن المهاجمين خلف استغلال CVE-2025-8110 تركوا المستودعات التي أنشأوها على موارد العملاء السحابية، بدلًا من مسحها أو وضعها كخاصة. وفسرت الشركة هذا الإهمال بأنه يشير إلى حملة سريعة وغير منظمة.
حجم الاختراق وتوصيات السلامة
بشكل عام، يوجد حوالي 1400 نسخة مكشوفة من Gogs، منها أكثر من 700 نسخة أظهرت علامات اختراق، وتحديدًا وجود أسماء مالكين ومستودعات عشوائية مكونة من 8 أحرف. وقد تم إنشاء جميع المستودعات التي تم رصدها حوالي 10 يوليو 2025.
وقال الباحثان جيلي تيكوتشينسكي وياعرا شريكي: “يشير هذا إلى أن جهة فاعلة واحدة، أو ربما مجموعة من الجهات الفاعلة التي تستخدم نفس الأدوات، هي المسؤولة عن جميع عمليات الاختراق”.
نظرًا لعدم وجود إصلاح لهذه الثغرة حتى الآن، أكدت Wiz على ضرورة أن يقوم المستخدمون بتعطيل التسجيل المفتوح، وتقييد الوصول إلى المنصة عبر الإنترنت، وفحص النسخ بحثًا عن مستودعات بأسماء عشوائية.
وجاء هذا الكشف في الوقت الذي حذرت فيه Wiz أيضًا من أن الجهات التهديدية تستهدف رموز الوصول الشخصية المسربة من GitHub كنقاط دخول قيّمة للحصول على الوصول الأولي إلى بيئات السحابة الضحيّة، بل واستخدامها في التنقل الجانبي عبر السحابات المتعددة.
والمشكلة تكمن في أن المهاجم الذي يمتلك صلاحيات قراءة أساسية عبر رمز وصول شخصي يمكنه استخدام وظيفة البحث عن الأكواد في واجهة برمجة تطبيقات GitHub لاكتشاف أسماء الأسرار المضمنة مباشرة في كود YAML الخاص بسير العمل. وتزداد الأمور تعقيدًا إذا كان رمز الوصول المستغل يمتلك صلاحيات كتابة، حيث يمكن للمهاجمين تنفيذ تعليمات برمجية خبيثة وإخفاء آثار نشاطهم.
وقالت الباحثة شيرا عيال: “استفاد المهاجمون من رموز الوصول المخترقة لاكتشاف أسماء أسرار GitHub Action في قاعدة الكود، واستخدموها في سير عمل خبيثة تم إنشاؤها حديثًا لتنفيذ التعليمات البرمجية والحصول على أسرار مزودي الخدمات السحابية. ولوحظ أيضًا أن جهات التهديد تقوم بتسريب الأسرار إلى نقطة نهاية ويب هوك يتحكمون بها، متجاوزين بذلك سجلات Action بالكامل”.