ثغرات Cordyceps الحرجة: أكثر من 300 مستودع GitHub مهدد بهجمات سلسلة التوريد
فريق جلتشمنذ 18 دقيقة0 مشاهدة5 دقائق
باحثون يكشفون عن ثغرات Cordyceps في CI/CD تعرض 300+ مستودع GitHub للخطر. يتيح الخلل للمهاجمين السيطرة الكاملة وسرقة الاعتمادات، مما يهدد سلاسل التوريد البرمجية العالمية.
مقدمة تحليلية
كشفت أبحاث حديثة أجرتها شركة Novee Security عن فئة جديدة وخطيرة من الثغرات الأمنية في تدفقات عمل CI/CD، أُطلق عليها اسم "Cordyceps". هذه الثغرات، التي وصفها الباحثون بأنها "نمط قابل للاستغلال وحرج"، تعرض أكثر من 300 مستودع GitHub عالي التأثير للخطر، مما يهدد سلاسل توريد البرمجيات المفتوحة المصدر وربما يمكن المهاجمين من السيطرة الكاملة على مستودعات تابعة لبعض أكبر الشركات التقنية في العالم، بما في ذلك Microsoft وGoogle وApache وCloudflare. يكمن الخطر المباشر في قدرة أي مستخدم غير مصادق عليه على استغلال هذه الأنماط لاختراق سير العمل وسرقة الاعتمادات، وهو ما يمثل تحديًا أمنيًا عميقًا للبنية التحتية الرقمية العالمية. إن الكشف عن هذه الثغرات، التي يمكن استغلالها من قبل أي حساب مجاني دون الحاجة إلى عضوية في المنظمة أو امتيازات خاصة، يسلط الضوء على فجوة أمنية واسعة النطاق. تؤكد Novee Security أن المسح الذي أجرته على حوالي 30,000 مستودع عالي الأهمية أظهر أن أكثر من 300 منها قابلة للاستغلال بشكل كامل، مما يتيح للمهاجمين تنفيذ تعليمات برمجية، وسرقة بيانات الاعتماد، واختراق سلسلة التوريد بنتائج كارثية على المشاريع النهائية.التحليل التقني
تتمحور مشكلة Cordyceps حول سوء التكوين في أنظمة CI/CD التي تمنح طلبات السحب (pull requests) صلاحيات أكثر مما ينبغي. طلبات السحب هي مقترحات لدمج تغييرات التعليمات البرمجية من فرع إلى المشروع الرئيسي. في الظروف العادية، يجب أن يتم التعامل مع هذه الطلبات بحذر، خاصةً إذا كانت تأتي من مصادر غير موثوقة. ومع ذلك، فإن العديد من تكوينات CI/CD تسمح لطلب سحب غير موثوق به بتشغيل سير عمل بامتيازات عالية، مما يفتح الباب أمام مجموعة من الهجمات الخطيرة:- Command Injection: حقن أوامر ضارة في بيئة CI/CD.
- Privilege Escalation: تصعيد الامتيازات للحصول على سيطرة أكبر على النظام.
- Credential Theft: سرقة بيانات الاعتماد الحساسة، مثل مفاتيح API أو الرموز المميزة (tokens).
- Supply Chain Compromise: اختراق شامل لسلسلة التوريد البرمجية، مما يؤثر على جميع المستخدمين النهائيين للبرنامج.
- Microsoft Azure Sentinel: تم العثور على تعليق على طلب سحب يمكنه تشغيل تعليمات برمجية مجهولة المصدر للمهاجم على CI الخاص بـ Microsoft وسرقة مفتاح GitHub App غير منتهي الصلاحية.
- Google's AI Agent Development Kit ('adk-samples'): سمح طلب سحب بتنفيذ تعليمات برمجية للمهاجم على CI الخاص بـ Google، مما يمنح سيطرة كاملة على مستودع Google Cloud.
- Apache Doris: هجومان "zero-click" يسمحان لتعليق واحد على أي طلب سحب بتشغيل تعليمات برمجية للمهاجم وسحب اعتمادات CI المضمنة أو رمز مميز بامتيازات كتابة كاملة.
- Cloudflare Workers SDK: طلب سحب باسم فرع مصمم خصيصًا يمكنه تنفيذ أوامر عشوائية على CI runners الخاص بـ Cloudflare.
- Python Software Foundation's Black: يمكن لطلب سحب واحد من أي شخص تنفيذ تعليمات برمجية للمهاجم على أنظمة بناء Black وسرقة رمز الأتمتة، والذي يمكن استخدامه لاحقًا للموافقة على طلبات السحب.
السياق وتأثير السوق
تأتي ثغرات Cordyceps في سياق متزايد من التركيز على أمن سلسلة التوريد، والذي أصبح نقطة ضعف رئيسية للمؤسسات في جميع أنحاء العالم. على عكس العديد من الثغرات الأمنية التقليدية التي تنشأ من أخطاء برمجية واضحة، فإن هذه المشكلة متأصلة في كيفية تصميم وتكوين تدفقات عمل CI/CD للسماح بالمرونة والتعاون في المشاريع مفتوحة المصدر. هذا يجعل اكتشافها صعبًا للغاية باستخدام الأدوات التقليدية، حيث لا يوجد خطأ فردي في الكود ولكن فشل في تصميم الثقة على مستوى النظام. إن كون هذه الثغرات تستهدف مستودعات GitHub، التي تمثل شريان الحياة لملايين المشاريع مفتوحة المصدر وتستخدمها كبرى الشركات لتطوير برمجياتها، يضخم من تأثيرها. يمكن أن يؤدي اختراق أحد هذه المستودعات إلى حقن تعليمات برمجية خبيثة في تطبيقات ومنتجات لا حصر لها، مما يخلق موجة من الهجمات اللاحقة يصعب تتبعها واحتواؤها. هذه الظاهرة، التي يصفها Meged بأنها "التحكم عن بعد" (puppeteering) للمستودعات، تعني أن المهاجم يمكنه التلاعب بصمت بسير عمل الشركات الكبرى، مما يضع الأساس لهجمات معقدة ومستمرة. بعد الكشف المسؤول، أكدت كل من Microsoft وGoogle التأثير، بينما قامت Cloudflare وPython وApache بتطبيق تعزيزات أمنية وتصحيحات للثغرات على التوالي. هذا الاستجابة السريعة أمر بالغ الأهمية، ولكنه لا يغير حقيقة أن هذه الثغرات تنتشر بشكل "أسي" بسبب طبيعة "التشفير الوكيل" (agentic coding)، مما يعني أنها تتكاثر باستمرار وبشكل تلقائي عبر المستودعات.رؤية Glitch4Techs
تُعد ثغرات Cordyceps بمثابة تذكير صارخ بالنقاط العمياء في أمن سلسلة التوريد، لا سيما في بيئات CI/CD. بينما تركز معظم حلول الأمن على نقاط الضعف في الكود أو البنى التحتية، فإن هذه المشكلة تنشأ من سوء فهم أو تكوين لتدفق الثقة بين المطورين وأنظمة الأتمتة. إن الاعتماد المتزايد على الأتمتة وأدوات CI/CD يعني أن أي خلل في تكوين الأذونات يمكن أن يكون له عواقب وخيمة، تتجاوز حدود المشروع الفردي لتؤثر على النظام البيئي بأكمله. من منظور Glitch4Techs، فإن أحد القيود الرئيسية في معالجة مثل هذه الثغرات هو عدم وجود حلول جاهزة للكشف عنها بسهولة. تشير Novee إلى أن الأدوات التقليدية تفشل في تحديدها لأن كل مكون يعمل "كما هو مصمم". هذا يستدعي تغييرًا في الفكر الأمني نحو نهج أكثر شمولية يركز على تدقيق تدفقات الثقة وتصاريح الامتيازات بشكل استباقي في كل مرحلة من مراحل دورة حياة التطوير، وليس فقط فحص الكود أو البنية التحتية بعد الواقعة. ينبغي للمؤسسات أن تتبنى مبادئ Zero Trust في بيئات CI/CD، حيث لا يتم الوثوق بأي طلب سحب أو مكون سير عمل افتراضيًا، ويجب التحقق من كل إجراء بشكل صارم. نتوقع أن تزداد هذه الأنواع من الهجمات تعقيدًا وتكرارًا، خاصة مع تزايد استخدام نماذج البرمجة المدعومة بالذكاء الاصطناعي (AI coding agents) التي يمكن أن تولد تعليمات برمجية تلقائيًا وتطلق طلبات سحب. هذا يرفع من مستوى التعقيد في التمييز بين السلوك المشروع والضار. يجب على الشركات الاستثمار في أدوات وتقنيات تدقيق CI/CD متخصصة، وتدريب فرقها الهندسية على أفضل الممارسات الأمنية، وتنفيذ عمليات مراجعة يدوية صارمة لتدفقات العمل ذات الامتيازات العالية، لضمان عدم تحول هذه الأتمتة الفعالة إلى بوابة خلفية للمهاجمين. إن التقاعس عن ذلك قد يؤدي إلى عواقب وخيمة تضر بسمعة الشركات وتكبدها خسائر مالية فادحة.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة