استغلال نشط لثغرة Gogs يجبر CISA على إدراجها ضمن قائمة الثغرات المعروفة المستغلة

في تطور أمني يستدعي تحركاً فورياً من مدراء الأنظمة وفرق الدفاع السيبراني، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) تحذيراً عاجلاً بشأن استغلال نشط لثغرة أمنية حرجة في منصة Gogs، وهي خدمة Git ذاتية الاستضافة. وقد توج هذا التحذير بإدراج الثغرة رسمياً ضمن كتالوج الثغرات المعروفة المستغلة (KEV) بتاريخ 12 يناير 2026، ما ينقل التعامل معها من حيز التحوط الروتيني إلى حيز أولوية المعالجة القصوى.

التشريح التقني للثغرة: عندما يفشل التحقق من الروابط الرمزية

تحمل الثغرة المعرف CVE-2025-8110، وسجلت درجة خطورة مرتفعة بلغت 8.7 وفق مقياس CVSS. وتكمن خطورتها في آلية عملها التي تمزج بين تجاوز مسار الملفات وسوء إدارة الروابط الرمزية داخل الواجهة البرمجية PutContents API المخصصة لتعديل ملفات المستودعات.

تعد هذه الثغرة، وفقاً للتحليلات الفنية الصادرة عن Wiz، تجاوزاً لإصلاح أمني سابق (CVE-2024-55947). وتتمحور المشكلة حول قصور في آلية التحقق؛ فبينما تتحقق Gogs من مسارات الملفات عند محاولة تعديلها، فإنها تغفل التحقق من الوجهة النهائية للرابط الرمزي إذا كان الملف المستهدف داخل المستودع هو في الأصل Symlink يشير إلى موقع خارج حدود المجلد المخصص للمستودع.

سيناريو الهجوم: من الاستضافة إلى السيطرة

يتبع المهاجمون في استغلال هذه الثغرة منهجية متسلسلة ودقيقة للوصول إلى تنفيذ أوامر عن بعد (RCE):

1. التأسيس: يقوم المهاجم بإنشاء مستودع جديد على المنصة المستهدفة.
2. التمهيد: يتم رفع ملف عبارة عن رابط رمزي يشير إلى ملف حساس خارج نطاق المستودع.
3. الاستغلال: يستخدم المهاجم PutContents API للكتابة على ما يبدو أنه ملف داخل المستودع، بينما يقوم النظام فعلياً بتتبع الرابط والكتابة على الملف الخارجي المستهدف.

تكمن الخطورة الحقيقية هنا في قدرة المهاجم على تعديل ملفات التكوين أو إعدادات Git (مثل sshCommand)، ما يمنحه بوابة خلفية لتنفيذ أوامر برمجية والسيطرة على الخادم.

أرقام مقلقة وغياب للتصحيح النهائي

تشير البيانات الميدانية إلى واقع مقلق؛ فقد رصدت Wiz أكثر من 700 نسخة Gogs تعرضت للاختراق أو الاستغلال، مع تركيز جغرافي ملحوظ في الصين، والولايات المتحدة، وألمانيا. ويرتفع مؤشر الخطر بشكل حاد في النسخ التي تحمل الإصدار 0.13.3 وما دون، وتحديداً تلك التي تفعل خاصية التسجيل المفتوح كإعداد افتراضي.

وفيما يخص المعالجة الجذرية، وحتى تاريخ 13 يناير 2026، لم يصدر تصحيح نهائي ومعلن يعالج الثغرة بشكل كامل، رغم رصد تحركات برمجية في مستودع المشروع تشير إلى اقتراب صدور إصدار جديد يتضمن الإصلاح.

خارطة الطريق للمعالجة والتخفيف

نظراً لغياب التصحيح الرسمي حتى اللحظة، وإلزام CISA للجهات الفيدرالية بمعالجة الثغرة قبل 2 فبراير 2026، يتعين على المؤسسات تبني استراتيجية دفاعية فورية تتضمن:

• إغلاق المنافذ: التعطيل الفوري لخاصية التسجيل المفتوح لقطع الطريق على المهاجمين الجدد.
• عزل الخدمة: حصر الوصول إلى خوادم Gogs عبر شبكات خاصة افتراضية (VPN) أو قوائم سماح لعناوين IP محددة، وتجنب كشف واجهة الخدمة للإنترنت العام.
• الرقابة النشطة: تفعيل مراقبة دقيقة لسجلات PutContents API، والبحث عن أي نشاط غير مألوف مثل إنشاء مستودعات بأسماء عشوائية أو محاولات تعديل ملفات خارج سياق التطوير المعتاد.
• افتراض الاختراق: في حال رصد أي مؤشرات اشتباه، يجب التعامل مع الخادم باعتباره مخترقاً؛ مما يستوجب عزله، وتدوير كافة بيانات الاعتماد ومفاتيح SSH، ومراجعة سلامة النظام والمهام المجدولة بدقة.