الوكاد
ثغرات خطيرة في أدوات CI/CD تُعرّض ملايين المستودعات للاختراق
ثغرات وتحديثاتحرج

ثغرات خطيرة في أدوات CI/CD تُعرّض ملايين المستودعات للاختراق

كشفت شركة Novee عن فئة منهجية من الثغرات في سلسلة توريد البرمجيات مفتوحة المصدر تستهدف ملايين المستودعات، وتُتيح لمهاجمين غير مُصادَق عليهم السيطرة التامة على بيئات التطوير.

SecurityWeek2 دقائق قراءة

باختصار

  • ثغرات أُطلق عليها اسم Cordyceps تُتيح لمهاجم غير مُصادَق عليه اختطاف سير عمل المطوّرين والتحكم الكامل في المستودعات البرمجية.
  • تأثّرت منتجات بارزة لمايكروسوفت وغوغل وأباتشي وكلاودفلير ومؤسسة بايثون، مع تداعيات تمتد إلى آلاف المنظمات الأخرى.
  • تكمن خطورة الثغرات في ملفات YAML الخاصة بـ GitHub Actions التي تُغفلها أدوات الفحص التقليدية، مما يُسهّل تمرير حقن الأوامر وتصعيد الصلاحيات.

كشف باحثو شركة الأمن السيبراني Novee عن مجموعة خطيرة من الثغرات الأمنية في بنية التكامل المستمر والتسليم المستمر (CI/CD) ضمن سلسلة توريد البرمجيات مفتوحة المصدر، وأطلقوا عليها اسم Cordyceps. وتتيح هذه الثغرات لمهاجمين لا يحملون أي صلاحيات مسبقة اختطاف سير عمل المطوّرين والتحكم الكامل في المستودعات المتضرّرة، في ما يُشكّل خطراً ممنهجاً يطال ملايين المشاريع البرمجية حول العالم.

ثغرات تتخفّى في «الإعدادات» البريئة

تتمحور هذه الثغرات حول ملفات YAML الخاصة بأداة سير العمل GitHub Actions، وهي ملفات يُنظر إليها تقليدياً على أنها مجرد إعدادات، لا شيفرة حساسة تستوجب المراجعة الأمنية المشدّدة. وهنا بالضبط يكمن جوهر المشكلة: يمكن تشغيل مسارات عمل ذات صلاحيات محدودة عبر طلبات سحب (Pull Requests) أو تعليقات صادرة من مصادر غير موثوقة، فتتسلسل نتائجها إلى مسارات أخرى ذات صلاحيات رفيعة تملك مفاتيح التوثيق لدى مزوّدي الخدمات السحابية.

وتشمل أنواع الثغرات المرصودة: حقن الأوامر (Command Injection)، وثغرات منطق المصادقة، وتسميم الحزم الوسيطة (Artifact Poisoning)، وتصعيد الصلاحيات (Privilege Escalation). والأخطر أن أدوات الفحص الأمني التقليدية تُغفل هذه الملفات في العادة، ما يجعل الثغرات مختبئة في العلن دون رصد يُذكر.

شركات عملاقة في دائرة التأثّر

أكدت Novee أن الثغرات طالت مستودعات تابعة لأبرز شركات التقنية في العالم، من بينها:

  • **مايكروسوفت (Microsoft)**: منصة Azure Sentinel للأمن السيبراني
  • **غوغل (Google)**: حزمة تطوير وكلاء الذكاء الاصطناعي AI Agent Development Kit
  • **أباتشي (Apache)**: قاعدة بيانات التحليلات Doris
  • **كلاودفلير (Cloudflare)**: حزمة تطوير Workers SDK
  • **مؤسسة بايثون البرمجية (Python Software Foundation)**: أداة تنسيق الكود Black

وبما أن آلاف المنظمات تعتمد على هذه المستودعات في منتجاتها، فإن مستودعاً واحداً مخترقاً قد تمتد تداعياته لتشمل بنوكاً وحسابات سحابية ومختبرات ذكاء اصطناعي وأجهزة المستخدمين النهائيين.

300 مستودع قابل للاختراق بفحص واحد

وثّقت Novee تأثير هذه الثغرات بأرقام لافتة: فقد أسفر فحص واحد عن رصد 654 مستودعاً مشتبهاً به، تبيّن أن أكثر من 300 منها قابلة للاختراق الفعلي الكامل، سواء عبر تنفيذ أكواد يتحكم فيها المهاجم، أو سرقة بيانات الاعتماد، أو المساس بسلسلة التوريد برمّتها.

ويرى الباحثون أن انتشار نماذج البرمجة بالذكاء الاصطناعي (Agentic Coding) ضاعف المشكلة؛ إذ تعيد هذه النماذج إنتاج أنماط غير آمنة في ملفات CI/CD المُولَّدة تلقائياً عبر ملايين المستودعات، دون أن تُدرك طبيعة الثغرة الكامنة في التركيبة الإجمالية لا في أي مكوّن منفرد.

أما السيناريوهات الخطيرة التي قد تنجم عن استغلال هذه الثغرات فتشمل: نشر حزم برمجية ضارة عبر منصات NPM وPyPI وDocker وHelm، ودفع كود خبيث إلى الفروع المحمية، وسرقة بيانات اعتماد خدمات سحابية من بينها AWS وGCP وNetlify، فضلاً عن انتحال هوية البوتات وتعطيل بيئات التنفيذ الذاتية (Self-hosted Runners).

توصيات

  • **راجع ملفات YAML لسير العمل** في مستودعاتك وتحقّق من أنها لا تُمرّر مدخلات خارجية غير موثوقة إلى أوامر الشِّل مباشرةً.
  • **قيّد الصلاحيات** الممنوحة لمسارات العمل المُشغَّلة بواسطة Pull Requests الخارجية وعزلها عن مسارات التوثيق السحابي الحساسة.
  • **لا تعتمد على الفحص الأمني التقليدي وحده** لاكتشاف هذا النوع من الثغرات؛ احرص على مراجعة أمنية يدوية لملفات سير العمل كما تُراجع الكود الحساس.
  • **ابقَ على اطلاع** بالتحديثات الأمنية الصادرة من مايكروسوفت وغوغل وأباتشي وكلاودفلير ومؤسسة بايثون فيما يخص المستودعات المتأثّرة.
#CI/CD#GitHub Actions#سلسلة التوريد#ثغرات أمنية#مفتوح المصدر#حقن الأوامر#Cordyceps#Novee#أمن سيبراني

مقالات ذات صلة