باحث يكشف إمكانية التلاعب بتوقيع إيداعات Git

تلاعب برمجي يمنح المهاجمين شارات توثيق دائمة على منصة GitHub دون امتلاك مفاتيح سرية.

باحث يكشف إمكانية التلاعب بتوقيع إيداعات Git
منصة GitHub تمنح الشرعية الزائفة لتعهدات برمجية متلاعب بها

أظهر بحث حديث نشر في الثاني من يوليو 2026 وجود ثغرة بنيوية في آلية توقيع الإيداعات الخاصة بنظام Git. تتيح هذه الثغرة للمهاجمين توليد إيداعات متعددة ومختلفة في رموز التجزئة الرقمية المشفرة (Hash Values)، على الرغم من تطابق محتواها واحتوائها على توقيع رقمي سليم، وذلك دون الحاجة إلى حيازة المفتاح الخاص بالموقع. يقوض هذا الاكتشاف فرضية أمنية راسخة تعتمد عليها أنظمة حماية سلسلة الإمداد البرمجية، والتي تقضي بأن رمز الإيداع يشكل معرفاً فريداً ومقاوماً لأي محاولات تلاعب.

وقد تناول الباحث جيكوب جينيسن من جامعة كارنيجي ميلون هذه الظاهرة بالتفصيل في ورقته البحثية المعنونة “Git Hash Chain Malleability“، حيث أطلق عليها مصطلح “قابلية تطويع سلسلة رموز التجزئة”. ويوضح البحث أن جذر المشكلة لا يعود إلى ضعف أو كسر في دوال رموز التجزئة التشفيرية مثل SHA-1 أو SHA-256، بل يكمن في خاصية “قابلية التطويع” الكامنة في بنية التوقيعات الرقمية نفسها؛ إذ تسمح بعض أنظمة التوقيع الرقمي باشتقاق توقيع جديد وصحيح بنيوياً من توقيع أصلي قائم دون معرفة المفتاح السري. وتطبيق هذا الأمر على إيداعات Git الموقعة يؤدي إلى تعديل التوقيع وبالتالي تغيير رمز التجزئة الإجمالي للإيداع كلياً، مع الحفاظ على سلامة وتطابق المحتوى والبيانات الوصفية للشيفرة المصدرية.

وقد حدد الباحث ثلاث تقنيات نوعية لتنفيذ هذا التلاعب، بحيث تغطي كافة مخططات التوقيع المعتمدة لدى منصة GitHub. تستهدف التقنية الأولى خوارزمية ECDSA عبر آلية “الانعكاس الجبري”، ومن خلالها تُستبدل القيمة ‘s’ في التوقيع بالقيمة ‘n-s’ لإنتاج توقيع بديل مقبول.

وتستغل التقنية الثانية توقيعات RSA وEdDSA عبر التلاعب ببنية حزمة OpenPGP، بإدراج حزمة فرعية إضافية في المنطقة غير المجزأة من حزمة التوقيع، وهي منطقة يحددها معيار RFC 4880 ولا يشملها رمز تجزئة التوقيع نفسه.

أما التقنية الثالثة فتركز على توقيعات S/MIME، حيث تعيد ترميز حقول الطول داخل بنية نظام التشفير الكلي (CMS) بالاعتماد على صيغة BER الأقل تشدداً بدلاً من صيغة DER القانونية، ما ينتج توقيعاً صحيحاً من الناحية الفنية رغم حياده عن المعايير الصارمة.

وتكتسب هذه التقنيات خطورتها العملية في بيئات أمن سلسلة الإمداد من طبيعة التعامل البرمجي لخوادم GitHub؛ إذ كشف البحث أن المنصة لا تُجري عملية “تطبيع” لحاوية التوقيع قبل التحقق منه. هذا السلوك يدفع GitHub إلى قبول الإيداعات المتلاعب بها عبر الأساليب الثلاثة، بل وتعيين رمز تجزئة جديد وسجل مستقل لكل منها مع منحها علامة “مُوثق” بصفة دائمة. ويتحول هذا الخلل إلى تهديد مستمر بفعل ميزة “التحقق الدائم من توقيع الإيداعات” التي أطلقتها GitHub في نوفمبر 2024، والتي تعمل على حفظ حالة التحقق بناء على رمز تجزئة الإيداع السائد لحظة رفعه، دون إعادة تقييمها حتى في حال إبطال مفتاح التوقيع لاحقاً، ما يمنح الإيداع المتلاعب به شارة توثيق دائمة تعزز من شرعيته الزائفة.

وفي المقابل، يشير البحث إلى وجود تباين واضح في سلوك أدوات التحقق المحلية؛ حيث تنجح أداة git verify-commit في كشف مسار ترميز S/MIME غير القانوني وترفضه، بينما تقبل بمساري الانعكاس الجبري وحزمة OpenPGP الفرعية. ومع ذلك، فإن هذا الرفض المحلي لا يحد من خطورة الثغرة طالما أن منصة GitHub تقبل المسارات الثلاثة وتمنحها شارات التوثيق الخاصة بها بشكل كامل.

تلقي هذه النتائج بظلالها على الممارسات الأمنية المحورية في تطوير البرمجيات، حيث تعتمد أنظمة تثبيت التبعيات على رمز الإيداع كمعرف وحيد لضمان سلامة النسخ البرمجية المستدعاة. كما تتأثر بها أنظمة البناء القابلة للتكرار وقوائم الحظر القائمة على رموز التجزئة المستخدمة في معالجة الحوادث الأمنية، نظراً لاستنادها إلى فرضية استحالة تزوير رموز التجزئة. ويثبت البحث أن خاصية “قابلية تطويع سلسلة رموز التجزئة” تتيح للمهاجمين تجاوز هذه الدفاعات دون امتلاك أي مفاتيح سرية، من خلال إنتاج إيداعات معدلة ذات رمز مختلف وشارة توثيق سليمة تخترق آليات الفحص الأمني.

ولإثبات هذه الفرضيات وتسهيل التحقق منها، طور الباحث أداة تطبيقية لإثبات المفهوم تُدعى git-chain-malleator، وهي أداة تؤتمت تقنيات التلاعب الثلاث على أي رسم بياني للإيداعات، وتتولى إعادة كتابة الإيداعات اللاحقة لتتوافق مع السلسلة الجديدة. وحتى تاريخ نشر هذا البحث، لم تُقيد أي عمليات استغلال فعلي لهذه الثغرة في البيئات الإنتاجية، ولم تصدر منصة GitHub أي تعليق رسمي أو تحديث أمني لمعالجتها، كما لم يتم تخصيص معرّف CVE للثغرة حتى الآن رغم أبعادها الأمنية الواضحة.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى