ثغرة Gogs الأمنية: تهديد خطير يتيح اختراق الخوادم بالكامل

كشفت تقارير أمنية عن ثغرة Gogs الأمنية الخطيرة التي تتيح للمهاجمين تنفيذ أكواد برمجية عن بعد واختراق الخوادم بالكامل، مما يهدد بيانات آلاف المستخدمين.

تم الكشف مؤخراً عن خلل أمني فادح في نظام Gogs، وهو خدمة استضافة Git مفتوحة المصدر وشهيرة لدى المطورين. وحسب تيكبامين، تتيح هذه الثغرة لأي مستخدم مسجل الوصول إلى تنفيذ أوامر عشوائية على الخادم المستضيف تحت ظروف معينة.

ما هي ثغرة Gogs الأمنية وكيف تعمل؟

تعتمد الثغرة على خلل في معالجة طلبات السحب (Pull Requests). ووفقاً للباحث الأمني جونا بورغيس، يمكن للمهاجم استغلال عملية "Rebase before merging" عبر إنشاء فرع (Branch) يحمل اسماً ملغماً يتضمن علم الحقن --exec.

خطوات استغلال الثغرة أمنياً

• التسجيل: إنشاء حساب جديد على أي نسخة Gogs بالإعدادات الافتراضية.
• إنشاء مستودع: أي مستخدم يسجل حساباً يمكنه إنشاء مستودع ويصبح مالكاً له تلقائياً.
• تفعيل الإعدادات: تفعيل خيار دمج إعادة التعيين (rebase merging) من إعدادات المستودع.
• التنفيذ: إرسال طلب سحب يتضمن الكود الخبيث في اسم الفرع ليتم تنفيذه أثناء عملية الدمج.

ما هي مخاطر استغلال ثغرة Gogs على الخوادم؟

تكمن خطورة هذه الثغرة في أنها لا تتطلب صلاحيات مسؤول (Admin) ولا تفاعلاً من مستخدمين آخرين. كما ذكر تيكبامين، فإن النجاح في استغلال هذا الخلل قد يؤدي إلى عواقب وخيمة تشمل:

• اختراق الخادم بالكامل والوصول إلى كافة المستودعات المخزنة عليه.
• سرقة بيانات الاعتماد وكلمات المرور الخاصة بالمطورين.
• التسلل إلى أنظمة أخرى مرتبطة بنفس الشبكة الداخلية.
• التلاعب بالأكواد البرمجية للمشاريع المستضافة وتلغيمها.
• تسريب بيانات المستخدمين الآخرين في بيئات الاستضافة المشتركة.

شرح عملية Git Rebase والثغرة

تُستخدم عملية "git rebase" لدمج سلسلة من الالتزامات (Commits) من فرع ميزة إلى فرع أساسي آخر لإنشاء تاريخ مشروع خطي. ومع ذلك، فإن هذه الأداة تقبل وسيطاً عبر علم --exec يسمح بتنفيذ أوامر برمجية بعد كل عملية دمج، وهو ما يستغله المهاجمون لحقن أكوادهم الخبيثة.

الأنظمة المتأثرة وحالة التحديث الأمني

حتى لحظة كتابة هذا التقرير، لا تزال ثغرة Gogs الأمنية دون تصحيح رسمي، رغم إبلاغ المطورين بها منذ منتصف شهر مارس 2026. وتؤثر هذه الثغرة على جميع الأنظمة الأساسية التي تدعم الخدمة، وهي:

• أنظمة ويندوز (Windows).
• أنظمة لينكس (Linux).
• أنظمة ماك (macOS).

تشير التقديرات إلى وجود حوالي 1,141 نسخة Gogs متاحة مباشرة عبر الإنترنت، لكن الخبراء يتوقعون أن يكون الرقم الحقيقي أكبر بكثير، نظراً لأن معظم الشركات تضع هذه الخوادم خلف شبكات VPN خاصة أو شبكات داخلية مغلقة، مما يجعلها أهدافاً صامتة للاختراقات الداخلية.

كيفية حماية خوادمك في الوقت الحالي

في غياب أي رقعة أمنية رسمية، يُنصح مديري الأنظمة بضرورة تقييد صلاحيات إنشاء المستودعات للمستخدمين غير الموثوق بهم، وتعطيل خيار الدمج التلقائي عبر "rebase" في الإعدادات العامة للخدمة لتقليل فرص الاستغلال.