حذرت وكالة CISA الأمريكية للأمن السيبراني من ثغرة خطيرة في منصة Gogs يتم استغلالها بنشاط في الهجمات الحقيقية. الثغرة التي تحمل الرمز CVE-2025-8110 حصلت على تقييم خطورة عالي بلغ 8.7 من 10.
ما هي ثغرة Gogs الخطيرة؟
تتعلق الثغرة ب weakness في معالجة الروابط الرمزية (Symbolic links) في واجهة برمجة التطبيقات PutContents الخاصة بـ Gogs. تسمح هذه الثغرة للمهاجمين بتنفيذ أكواد خبيثة عن طريق تجاوز إجراءات الحماية الموجودة.
وفقاً لـتيكبامين، اكتشفت شركة Wiz الأمنية هذه الثغرة وهي تُستغل في هجمات zero-day. الهجوم يعمل عن طريق إنشاء مستودع git وإضافة رابط رمزي يشير إلى ملف حساس، ثم استخدام PutContents API للكتابة فوق الملف المستهدف.
كيف يعمل الهجوم؟
يقوم المهاجم بخطوات محددة لتحقيق التنفيذ التعسفي للكود:
- إنشاء مستودع Git جديد على الخادم المستهدف
- إضافة رابط رمزي (symlink) يشير إلى ملف حساس
- استخدام PutContents API للكتابة فوق الملف عبر الرابط
- النظام يتبع الرابط ويكتب على الملف الفعلي خارج المستودع
- تعديل إعدادات Git لتنفيذ أوامر Shell
كم عدد الخوادم المخترقة؟
كشفت Wiz عن اختراق 700 خادم Gogs حول العالم. ووفقاً لمنصة Censys لإدارة سطح الهجوم، يوجد حوالي 1600 خادم Gogs مكشوف على الإنترنت.
توزع الخوادم الجغرافي كالتالي:
- الصين: 991 خادم
- الولايات المتحدة: 146 خادم
- ألمانيا: 98 خادم
- هونغ كونغ: 56 خادم
- روسيا: 49 خادم
هل يوجد إصلاح للثغرة؟
حالياً لا توجد تصحيحات رسمية متاحة لـ CVE-2025-8110. لكن تظهر طلبات السحب على GitHub أن التغييرات البرمجية اللازمة تم إجراؤها بالفعل.
قال أحد مطوري المشروع الأسبوع الماضي إنه بمجرد بناء الصورة على الفرع الرئيسي، ستحتوي كل من gogs/gogs:latest و gogs/gogs:next-latest على إصلاح هذه الثغرة.
كيف تحمي خادم Gogs الخاص بك؟
في غياب الإصلاح الرسمي، ينصح الخبراء باتخاذ إجراءات وقائية فورية:
- تعطيل التسجيل المفتوح الافتراضي في Gogs
- تقييد الوصول للخادم عبر VPN
- استخدام القوائم البيضاء (allow-list) للعناوين المسموح بها
- مراقبة السجلات بحثاً عن نشاط مشبوه
- فصل الخوادم الحساسة عن الإنترنت العام
تطلب CISA من الوكالات الفيدرالية الأمريكية تطبيق هذه التدابير الوقائية قبل 2 فبراير 2026. كما أوصت تيكبامين المستخدمين بتحديث Gogs بمجرد توفر التصحيح الرسمي.
