تعتبر الثغرات الأمنية في البرمجيات مصدر قلق دائم في عالم الأمن السيبراني. في هذا السياق، تبرز ثغرة Gogs Zero-Day كتهديد خطير يتطلب اهتمامًا عاجلًا.
تواجه ثغرة في خدمة Git المستضافة ذاتيًا Gogs استغلالًا واسع النطاق، ولا يوجد تصحيح متاح في الوقت الحالي.
وفقًا لشركة Wiz، التي نشرت بحثًا في 10 ديسمبر يكشف عن CVE-2025-8110، وهو تجاوز لثغرة تنفيذ التعليمات البرمجية عن بُعد تم الكشف عنها لـ Gogs العام الماضي (CVE-2024-55947). على الرغم من أنه تم تصحيح الخطأ السابق، فإن هذه الثغرة الجديدة تمكّن المهاجمين من تنفيذ التعليمات البرمجية في البيئات الضعيفة بسبب فجوة أمنية في التصحيح الأصلي.
تُعتبر Gogs برنامجًا مفتوح المصدر شائعًا بسبب متطلباته الدنيا المنخفضة وسهولة استخدامه. وهو موجود في آلاف البيئات المحلية والسحابية، والأكثر قلقًا بالنسبة لثغرة مثل هذه هو أنها “غالبًا ما تكون معرضة للإنترنت لتمكين التعاون عن بُعد”، وفقًا للباحثين في Wiz، جيلي تيكوشينسكي ويارا شريكي.
كيف تعمل CVE-2025-8110
كما قال تيكوشينسكي وشريكي، فإن الخطأ السابق CVE-2024-55947 “استغل ضعفًا في تجاوز المسار في واجهة برمجة التطبيقات PutContents.”
“سمح ذلك للمهاجم بكتابة ملفات خارج دليل مستودع Git، مما منح القدرة على الكتابة فوق ملفات النظام الحساسة أو ملفات التكوين لتحقيق تنفيذ التعليمات البرمجية،” كتبوا في منشور المدونة. “عالج القائمون على الصيانة ذلك من خلال إضافة التحقق من صحة المدخلات على معلمة المسار.”
كانت المشكلة في التصحيح، كما أوضح الباحثون، أنه لم يأخذ في الاعتبار الروابط الرمزية، وبشكل أكثر تحديدًا، استغلال الروابط الرمزية.
“تسمح واجهة برمجة التطبيقات Gogs بتعديل الملفات خارج بروتوكول Git العادي، وعلى الرغم من أنها الآن تتحقق من أسماء المسارات، فإنها تفشل في التحقق من وجهة الرابط الرمزي. نظرًا لأن Gogs تحترم سلوك Git القياسي، فإنها تسمح للمستخدمين بالالتزام بالروابط الرمزية في المستودعات،” كتب تيكوشينسكي وشريكي. “تنشأ الثغرة لأن واجهة برمجة التطبيقات تكتب إلى مسار الملف دون التحقق مما إذا كان الملف المستهدف هو في الواقع رابط رمزي يشير إلى خارج المستودع. وهذا يجعل التحقق السابق من صحة المسار عديم الفائدة إذا كان الرابط الرمزي معنيًا.”
تسلسل الهجوم النهائي لهذه الثغرة الجديدة بسيط. يقوم المهاجم بإنشاء مستودع Git عادي ويستخدم رابطًا رمزيًا لكتابة فوق ملف هدف حساس، ثم يمكنه تنفيذ أوامر عشوائية.
رصدت Wiz أول إشارة للاستغلال في 10 يوليو، ومنذ ذلك الحين انفجر هذا في ما وصفه الباحثون بأنه “حملة برمجيات ضارة بأسلوب ‘سحق وسرقة'” يقودها على الأرجح مهاجم منفرد. بينما لا يزال غير واضح من يقف وراء هذه الهجمات، رصد باحثو Wiz Supershell على نظام مصاب، وهو إطار عمل مفتوح المصدر للتحكم في الأوامر تم استخدامه من قبل المهاجمين المرتبطين بالصين.
من خلال البحث في Shodan، تمكنت Wiz من اكتشاف 1400 حالة مكشوفة إجماليًا وأكثر من 700 حالة مخترقة، بمعدل خرق يزيد عن واحد من كل اثنين. “جميع الحالات المصابة شاركت نفس النمط: أسماء مالكين/مستودعات عشوائية مكونة من 8 أحرف تم إنشاؤها في نفس نافذة الوقت القصيرة (10 يوليو). وهذا يشير إلى أن ممثلًا واحدًا، أو ربما مجموعة من الممثلين جميعهم يستخدمون نفس الأدوات، هم المسؤولون عن جميع الإصابات،” قالت Wiz.
الجدول الزمني لـ CVE-2025-8110 والتخفيف
في 17 يوليو، أبلغت Wiz القائمين على Gogs عن الثغرة، الذين اعترفوا باستلامها بعد أكثر من ثلاثة أشهر، في 30 أكتوبر.
في بريد إلكتروني، يقول متحدث باسم Wiz Research لـ Dark Reading إن الشركة أبلغت عن الثغرة إلى Gogs في غضون يومين من تأكيد الاستغلال النشط بينما اتبعت ممارسات الكشف المسؤولة.
“لقد اعتبرنا الكشف في وقت سابق، لكننا انتظرنا في النهاية على أمل التنسيق في الإصلاح،” تقول Wiz Research. “عندما ظلت الثغرة غير مصححة ورأينا تجدد الاستغلال في البرية، اخترنا نشر نتائجنا لمساعدة الآخرين في حماية بيئاتهم.”
تم الكشف عن موجة ثانية من الهجمات في 1 نوفمبر، وحتى وقت نشر المدونة، لم يتم تصحيح CVE-2025-8110.
تقول Wiz إن حالات Gogs التي تكون عند أو أقل من الإصدار 0.13.3 ولديها تسجيل مفتوح ممكن (الإعداد الافتراضي) معرضة لـ CVE-2025-8110. يُنصح المنظمات الضعيفة بتعطيل التسجيل المفتوح على الفور إذا لم يكن مطلوبًا، والحد من التعرض للإنترنت (مثل وضع الحالات خلف VPN أو استخدام قائمة السماح)، والبحث عن إنشاء مستودعات بأسماء عشوائية مكونة من 8 أحرف أو استخدام غير متوقع لواجهة برمجة التطبيقات PutContents (علامات واضحة على احتمال الإصابة).
في ضوء الاستغلال المستمر لهذه الثغرة، من الضروري أن تتخذ المؤسسات تدابير احترازية لحماية بيئاتها. تابعوا تحديثات الأمان لضمان سلامة أنظمتكم.
