ثغرات CI/CD الجديدة تضع أكثر من 300 مستودع على GitHub تحت خطر هجمات سلاسل التوريد، ما قد يتيح سرقة بيانات اعتماد وحقن شيفرات خبيثة.
ما هي ثغرات CI/CD التي تهدد مستودعات جيت هب؟
كشف باحثون أمنيون عن نمط هجومي جديد أطلق عليه اسم Cordyceps، ويستهدف إعدادات سير العمل في بيئات التكامل والتسليم المستمر. المشكلة لا تعتمد على اختراق حسابات داخلية، بل يمكن استغلالها من مستخدم عادي يملك حساباً مجانياً فقط.
الخطورة هنا أن بعض المستودعات تمنح طلبات السحب صلاحيات أعلى مما يجب. وعند تشغيل مهام موثوقة بناءً على محتوى غير موثوق، يصبح الطريق مفتوحاً أمام تنفيذ أوامر ضارة والتصعيد داخل المشروع.
لماذا تعد هذه الثغرة مختلفة؟
بحسب ما رصدته تيكبامين، فإن الخلل لا يوجد في أداة واحدة بعينها، بل في طريقة ربط المكونات معاً داخل خطوط CI/CD. هذا يجعل اكتشافه أصعب، لأن كل جزء يبدو وكأنه يعمل بشكل طبيعي منفرداً.
- استغلال ممكن دون عضوية داخل المؤسسة
- إمكانية تزوير الموافقات داخل بعض التدفقات
- تنفيذ شيفرة على بيئات البناء والاختبار
- سرقة مفاتيح أو بيانات اعتماد حساسة
- التأثير يمتد إلى سلاسل التوريد مفتوحة المصدر
كيف يمكن للمهاجم استغلال ثغرات CI/CD عملياً؟
يعتمد السيناريو على إرسال طلب سحب خبيث أو التفاعل معه بطريقة تستدعي مهام تملك صلاحيات مرتفعة. إذا كانت إعدادات المستودع غير محكمة، قد يحصل المهاجم على تنفيذ شيفرة داخل بيئة CI الخاصة بالمشروع.
في هذه الحالة، لا يتوقف الضرر عند مستودع واحد فقط. بل يمكن استخدام الوصول المسروق لدفع تحديثات ضارة، أو سرقة مفاتيح تطبيقات GitHub، أو العبث بالحزم البرمجية التي يعتمد عليها مطورون آخرون.
أبرز المخاطر التقنية
- اختراق بيئة البناء الخاصة بالمشروع
- سرقة رموز الوصول والمفاتيح طويلة الصلاحية
- دفع تغييرات خبيثة إلى الفروع الرئيسية
- تلويث الحزم البرمجية الموزعة للمستخدمين
كم عدد المستودعات المتأثرة ومن هي الجهات المعرضة للخطر؟
فحص الباحثون نحو 30 ألف مستودع عالي الأهمية، وتبين أن أكثر من 300 مستودع كانت قابلة للاستغلال الكامل. وهذا رقم لافت لأن الحديث هنا عن مشاريع مفتوحة المصدر ذات تأثير واسع على المطورين والشركات.
كما شملت الحالات المرصودة مستودعات مرتبطة بمؤسسات تقنية كبرى ومشاريع معروفة في مجتمع البرمجيات. وفي بعض الأمثلة، أمكن تشغيل شيفرة يسيطر عليها المهاجم داخل البنية الخاصة بالاختبار أو التطوير، مع احتمال الوصول إلى مفاتيح حساسة.
- نطاق الفحص: نحو 30,000 مستودع
- المستودعات القابلة للاستغلال: أكثر من 300
- نوع التأثير: تنفيذ شيفرة وسرقة اعتماد وتلويث سلسلة التوريد
كيف تحمي المشاريع نفسها من هجمات سلاسل التوريد؟
بدأت بعض الجهات في تشديد إعدادات الأمان وتحديث سير العمل لمنع تشغيل المهام الحساسة من مصادر غير موثوقة. وتشمل المعالجات تقليل الصلاحيات الافتراضية، وعزل الأسرار، ومراجعة المشغلات المرتبطة بطلبات السحب والتعليقات.
وتشير تيكبامين إلى أن اتساع استخدام أدوات التطوير المؤتمتة والبرمجة المعتمدة على الوكلاء قد يسرّع تكرار هذا النوع من الأخطاء. لذلك فإن مراجعة ثغرات CI/CD لم تعد خطوة اختيارية، بل ضرورة لحماية سلاسل التوريد البرمجية قبل أن تتحول الثغرة إلى باب خلفي واسع النطاق.
