مكنت ثغرة يوم الصفر غير المصحّحة في Gogs، وهي خدمة Git شائعة الاستضافة ذاتيًا، المهاجمين من تنفيذ تعليمات برمجية عن بُعد على المثيلات التي تواجه الإنترنت واختراق مئات الخوادم.
تم كتابته بلغة Go وتم تصميمه كبديل لـ GitLab أو GitHub Enterprise، وغالبًا ما يتم عرض Gogs أيضًا عبر الإنترنت للتعاون عن بعد.
CVE-2025-8110، ثغرة Gogs RCE التي تم استغلالها في هذه الهجمات، تنبع من ضعف اجتياز المسار في واجهة برمجة تطبيقات PutContents. يسمح الخلل للجهات الفاعلة في مجال التهديد بتجاوز وسائل الحماية المطبقة لخطأ تنفيذ التعليمات البرمجية عن بعد الذي تم تصحيحه مسبقًا (CVE-2024-55947) باستخدام روابط رمزية للكتابة فوق الملفات خارج المستودع.
في حين أن إصدارات Gogs التي عالجت الخطأ الأمني CVE-2024-55947 تتحقق الآن من صحة أسماء المسارات لمنع اجتياز الدليل، إلا أنها لا تزال تفشل في التحقق من صحة وجهة الروابط الرمزية. يمكن للمهاجمين إساءة استخدام هذا من خلال إنشاء مستودعات تحتوي على روابط رمزية تشير إلى ملفات النظام الحساسة، ثم استخدام واجهة برمجة تطبيقات PutContents لكتابة البيانات من خلال الرابط الرمزي، والكتابة فوق الأهداف خارج المستودع.
من خلال الكتابة فوق ملفات تكوين Git، وتحديدًا إعداد sshCommand، يمكن للمهاجمين إجبار الأنظمة المستهدفة على تنفيذ أوامر عشوائية.
اكتشفت Wiz Research الثغرة الأمنية في شهر يوليو أثناء التحقيق في إصابة برنامج ضار يؤثر على خادم Gogs الذي يواجه الإنترنت الخاص بالعميل. في المجموع، وجد الباحثون”https://www.shodan.io/search?query=http.title%3A%22Sign+In+-+Gogs%22″ الهدف=”_blank” rel=”nofollow noopener”> تم الكشف عن أكثر من 1400 خادم Gogs عبر الإنترنتمع وجود أكثر من 700 حالة تظهر عليها علامات التسوية.
أظهرت جميع الحالات المخترقة التي تم تحديدها أثناء التحقيق في هذه الهجمات أنماطًا متطابقة، بما في ذلك المستودعات ذات الأسماء العشوائية المكونة من ثمانية أحرف والتي تم إنشاؤها خلال نفس الإطار الزمني في يوليو، مما يشير إلى أن جهة فاعلة واحدة أو مجموعة واحدة تستخدم أدوات آلية هي التي تقف وراء الحملة.
“In our external scan, we identified over 1,400 Gogs servers publicly exposed to the internet. Many of these instances are configured with ‘Open Registration’ enabled by default, creating a massive attack surface,” قالوا.
ووجد Wiz أيضًا أن البرامج الضارة التي تم نشرها تم إنشاؤها باستخدام Supershell، وهو إطار عمل مفتوح المصدر للقيادة والتحكم (C2) يقوم بإنشاء أغطية SSH عكسية عبر خدمات الويب. وكشف التحليل الإضافي عن اتصال البرامج الضارة بخادم القيادة والتحكم على الرقم 119.45.176[.]196.
أبلغ الباحثون عن الثغرة الأمنية لمشرفي Gogs في 17 يوليو، واعترف المشرفون بالخلل في 30 أكتوبر، عندما كانوا لا يزالون يطورون التصحيح. وفقًا للجدول الزمني للإفصاح الذي شاركته شركة Wiz Research، فقد لوحظت موجة ثانية من الهجمات في الأول من نوفمبر.
يُنصح مستخدمو Gogs بتعطيل الإعداد الافتراضي للتسجيل المفتوح على الفور وتقييد الوصول إلى الخادم باستخدام VPN أو قائمة السماح. يجب على أولئك الذين يريدون التحقق مما إذا كان مثيلهم قد تم اختراقه بالفعل، البحث عن الاستخدام المشبوه لواجهة برمجة تطبيقات PutContents والمستودعات ذات الأسماء العشوائية المكونة من 8 أحرف.
“https://www.bleepstatic.com/c/t/tines/tines-keyhole.jpg” البديل=”tines”>
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.