Netcrook Logo
👤 KERNELWATCHER
🗓️ 13 Jan 2026   🌍 North America

مواجهة يوم الصفر: السلطات الفيدرالية تسابق الزمن لترقيع ثغرة خادم Git ‏Gogs بينما يشنّ القراصنة هجماتهم

العنوان الفرعي: تُطلق CISA صافرة الإنذار بعد موجة من الهجمات التي تستغل ثغرة حرجة في Gogs وتترك مئات الخوادم مخترقة.

بدأ الأمر بخادم واحد مُصاب. وبحلول الوقت الذي انقشع فيه الغبار، كانت أكثر من 700 خادم Git من نوع Gogs تُظهر مؤشرات اختراق، وكانت الحكومة الأمريكية في حالة أزمة كاملة. وبينما تسارع الوكالات الفيدرالية إلى ترقيع خلل خطير يتيح تنفيذ تعليمات برمجية عن بُعد، تتحدد خطوط المواجهة في المعركة السيبرانية - والوقت ينفد.

على خطوط الدفاع الأمامية للأمن السيبراني الفيدرالي، الاستعجال هو عنوان المرحلة. الأسبوع الماضي، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) توجيهًا طارئًا نادرًا: يجب على جميع الوكالات المدنية الفيدرالية ترقيع ثغرة Gogs المكتشفة حديثًا وعالية الخطورة - CVE-2025-8110 - خلال ثلاثة أسابيع. والسبب؟ القراصنة يستغلون بالفعل ثغرة يوم الصفر هذه على أرض الواقع، وتداعياتها تتسع بسرعة.

يُعد Gogs، وهو خادم Git مفتوح المصدر مكتوب بلغة Go، خيارًا مفضلًا لدى المؤسسات التي تبحث عن بديل خفيف لـ GitHub أو GitLab. غير أن هذه السهولة تأتي بثمن: كثير من النسخ تكون مكشوفة مباشرة على الإنترنت، ما يجعلها أهدافًا مثالية للمجرمين السيبرانيين. الثغرة، المتجذرة في ضعف اجتياز المسار ضمن واجهة PutContents API، تتيح للمهاجمين الكتابة فوق ملفات خارج المستودع المقصود - وتحديدًا عبر إساءة استخدام الروابط الرمزية للوصول إلى ملفات نظام حساسة.

هكذا يتكشف الهجوم: ينشئ مستخدم مُوثَّق مستودعًا خبيثًا يحتوي على رابط رمزي يشير إلى ملف نظام بالغ الأهمية. ومن خلال دفع البيانات عبر الرابط الرمزي، يمكنه الكتابة فوق ملفات الإعدادات - مثل تلك التي تتحكم بأوامر SSH - مما يمنحه القدرة على تشغيل أي أمر على الخادم. بعبارة أخرى: كابوس تنفيذ تعليمات برمجية عن بُعد.

تم التنبيه إلى الثغرة لأول مرة من قبل Wiz Research في يوليو 2024، بعد التحقيق في حادثة برمجيات خبيثة على خادم Gogs لدى أحد العملاء. ورغم الإبلاغ عن الخلل بسرعة، استغرق القائمون على صيانة Gogs ثلاثة أشهر للاعتراف به، قبل أن يطلقوا أخيرًا ترقيعًا في أواخر أكتوبر. وبحلول ذلك الوقت، كان المهاجمون قد أطلقوا بالفعل موجة ثانية من الاستغلالات، مستهدفين الخوادم غير المُرقَّعة كثغرة يوم صفر.

كشفت عمليات المسح عبر Shodan عن مشهد مقلق: 1,400 خادم Gogs مكشوف على الإنترنت، وأكثر من نصفها يُظهر مؤشرات اختراق. تحذير CISA جاء صريحًا - هذا النوع من الثغرات مفضل لدى الخصوم السيبرانيين، ويشكل “مخاطر كبيرة على المنظومة الفيدرالية.” لدى الوكالات حتى 2 فبراير 2026 لترقيع نسخ Gogs الضعيفة أو فصلها عن الشبكة. لكن مع اختراق مئات الخوادم بالفعل، قد يكون الضرر قد وقع.

بالنسبة للمؤسسات التي تشغّل Gogs، الرسالة واضحة: حدّثوا الآن، وأحكموا إغلاق التسجيل المفتوح، وافحصوا المستودعات المشبوهة - خصوصًا تلك التي تحمل أسماء عشوائية من ثمانية أحرف، وهي علامة دالة على موجات الهجوم الأخيرة. في سباق التسلح السيبراني، التردد رفاهية لا يستطيع أحد تحملها.

وبينما تسارع الوكالات الفيدرالية لإغلاق الباب أمام هذا الاستغلال، تُعد قصة Gogs تذكيرًا صارخًا: في عالم سلاسل توريد البرمجيات، حتى ثغرة واحدة مُهملة يمكن أن تتحول إلى سلاح في الأيدي الخطأ. اليقظة - والتحرك السريع - هما خط الدفاع الوحيد.

WIKICROOK

  • يوم الصفر: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح بعد، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
  • تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو اختراقه.
  • اجتياز المسار: اجتياز المسار هو خلل أمني يتيح للمهاجمين التلاعب بمسارات الملفات للوصول إلى ملفات أو بيانات خارج الحدود المقصودة للنظام.
  • الرابط الرمزي (Symlink): الرابط الرمزي (symlink) هو اختصار في نظام الملفات يشير إلى ملف أو دليل آخر، ويُستخدم غالبًا للتسهيل لكنه قد يطرح مخاطر أمنية.
  • مهاجم مُوثَّق: المهاجم المُوثَّق هو شخص يحصل على وصول شرعي إلى نظام ثم يستغل الثغرات من الداخل لإحداث ضرر أو سرقة بيانات.
Gogs vulnerability Cybersecurity Remote code execution
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news