الـGit الذي عضّ: استغلال ثغرة يوم الصفر في Gogs ضمن هجوم برمجيات خبيثة خفي

ثغرة حرجة في خدمة Gogs الشهيرة لـGit تركت آلاف المستخدمين مكشوفين بينما يسرح المهاجمون لأشهر دون وجود إصلاح في الأفق.

عندما لجأ الهواة والشركات على حد سواء إلى Gogs لإنشاء مستودعات Git خفيفة الوزن ومُستضافة ذاتياً، لم يتخيل أحد أن قواعدهم البرمجية قد تصبح نقطة انطلاق لموجة من الهجمات السيبرانية الخفية. ومع ذلك، ولسنوات، حوّلت ثغرة حرجة - استُغلت بهدوء في البرية - هذا المشروع مفتوح المصدر إلى ملعب للقراصنة، دون توفر تصحيح حتى الآن والوقت ينفد أمام المدافعين.

حقائق سريعة

ثغرة يوم الصفر (CVE-2025-8110) في Gogs تم استغلالها بنشاط منذ يوليو 2024.
تأكد اختراق أكثر من 700 حالة من أصل 1,400 مكشوفة، ما يشير إلى معدل اختراق يتجاوز 50%.
تجاوز المهاجمون تصحيحاً سابقاً عبر استغلال الروابط الرمزية، مما أتاح تنفيذ أوامر عن بعد.
نشر البرمجيات الخبيثة يتم بشكل آلي، مع أدلة تشير إلى جهة أو مجموعة واحدة تقف خلف الحملة.
لا يوجد تصحيح رسمي متاح؛ يُنصح المستخدمون بتقييد الوصول وتعطيل التسجيل المفتوح فوراً.

داخل الهجوم: كيف تحولت ثغرة بسيطة إلى كارثة

في قلب هذا الاختراق تكمن الثغرة CVE-2025-8110، وهي ثغرة حرجة تعرض خوادم Gogs لتنفيذ أوامر عن بعد. في الأصل، سمحت ثغرة في 2023 (CVE-2024-55947) للمهاجمين بالكتابة فوق ملفات حساسة عبر استغلال ثغرة تجاوز المسار في واجهة PutContents البرمجية. وبينما قام القائمون بالصيانة بتصحيح تلك المشكلة عبر التحقق من مسارات الملفات، غاب عنهم ثغرة حاسمة: الروابط الرمزية.

الروابط الرمزية - أو symlinks - هي اختصارات في أنظمة الملفات، وGogs، تماشياً مع سلوك Git القياسي، يسمح للمستخدمين بإضافتها. أدرك المهاجمون أن الواجهة المصححة لا تزال تفشل في التحقق مما إذا كان الملف عبارة عن رابط رمزي يشير إلى خارج المستودع. من خلال إنشاء مستودع خبيث يحتوي على رابط رمزي، يمكن للمهاجم الكتابة فوق ملفات حرجة في أماكن أخرى على الخادم، واستعادة القدرة على تنفيذ أوامر عشوائية.

سلسلة الاستغلال بسيطة بشكل مقلق: إعداد مستودع git، إضافة رابط رمزي، تفعيل الواجهة البرمجية، وتنفيذ الشيفرة على الخادم المستهدف. ووفقاً لباحثي Wiz، بدأت الحملة في يوليو 2024، وتسارعت بسرعة بما وصفوه بـ"أتمتة الهجوم الخاطف". تشير أدلة من عمليات مسح Shodan وأنماط العدوى - أسماء مستودعات عشوائية مكونة من 8 أحرف تُنشأ بسرعة متتالية - إلى جهة واحدة أو مجموعة منسقة تقف خلف الهجمات.

علاوة على ذلك، نشر المهاجمون أداة Supershell، وهي أداة مفتوحة المصدر للتحكم والسيطرة سبق ربطها بجهات تهديد مقرها الصين، رغم أن النسبة لا تزال غير واضحة. وعلى الرغم من إفصاح Wiz عن الثغرة بشكل مسؤول لفريق Gogs في منتصف يوليو، مرت أكثر من ثلاثة أشهر قبل الاعتراف بها - ولا يزال التصحيح غائباً حتى الآن.

التخفيف: ماذا يمكن للمدافعين فعله؟

مع عدم توفر تصحيح، أفضل دفاع هو اليقظة ونظافة الشبكة. يجب على المؤسسات التي تشغل Gogs بإصدار 0.13.3 أو أقل تعطيل التسجيل المفتوح فوراً (وهو مفعّل افتراضياً)، وتقييد التعرض للإنترنت - ويُفضل وضع الحالات خلف VPN أو قائمة سماح - ورصد إنشاء مستودعات مشبوهة أو نشاط غير معتاد في الواجهات البرمجية. كل يوم يمر دون إصلاح يزيد من خطر الاختراق.