أبرز النقاط
- باحث مجهول نشر أكواد استغلال جاهزة لـ 15 ثغرة يوم صفر عبر مستودع exploitarium دون إخطار أي مطور
- ثغرتان تُستغلان فعلياً: CVE-2026-55200 في libssh2 تتيح تنفيذ أكواد عن بُعد، وCVE-2026-20896 في Gitea تتيح انتحال هوية أي مستخدم
- خبراء يرجحون استخدام نماذج ذكاء اصطناعي متقدمة مثل GPT-5.5 Codex لاكتشاف هذه الثغرات آلياً
نشر باحث أمني مجهول يُعرف باسم bikini مستودعاً على GitHub أطلق عليه اسم exploitarium، يحتوي على أكواد استغلال فعّالة لـ 15 ثغرة من نوع يوم صفر (zero-day) تطال منتجات برمجية ومشاريع مفتوحة المصدر واسعة الانتشار — دون أن يُخطر أياً من المطورين أو المشرفين قبل النشر. والأخطر أن المهاجمين بدأوا فعلياً باستغلال اثنتين من هذه الثغرات.
ما الثغرتان اللتان تُستغلان الآن؟
الثغرة الأولى تحمل الرقم CVE-2026-55200، وهي ثغرة حرجة تصيب مكتبة libssh2 — وهي مكتبة مكتوبة بلغة C تُستخدم على نطاق واسع لتنفيذ بروتوكول SSH2 من جانب العميل. تتيح هذه الثغرة للمهاجمين عن بُعد إرسال حزم SSH مُعدّة بقيم packet_length ضخمة بشكل مفرط، مما يُفسد ذاكرة الـ heap ويمكّنهم من تنفيذ أكواد خبيثة دون الحاجة لأي مصادقة مسبقة. أُدمج الإصلاح في الفرع الرئيسي لتطوير libssh2، لكن المشرفين لا يزالون يُعدّون إصداراً رسمياً يتضمن الترقيع.
الثغرة الثانية هي CVE-2026-20896، وتصيب نشر Gitea عبر Docker في البيئات المستضافة ذاتياً. تسمح هذه الثغرة الحرجة لمهاجمين غير مصادَقين بانتحال هوية أي مستخدم والسيطرة الكاملة على خادم Git. صدر الإصلاح في الإصدار Gitea 1.26.3.
لماذا يُعد هذا النشر خطيراً على المجتمع الأمني؟
الإفصاح المسؤول عن الثغرات يقتضي عادةً إخطار المطورين قبل 90 يوماً من النشر العلني، مما يمنحهم وقتاً لإصدار ترقيعات. لكن bikini تجاوز هذا البروتوكول تماماً، إذ كتب في وصف المستودع — وفق لقطة شاشة نشرها تشارلز غييميه كبير المسؤولين التقنيين في شركة Ledger على منصة X — أن أياً من هذه الثغرات لم يُبلَّغ عنها، ودعا المجتمع للإبلاغ عنها بأنفسهم والحصول على الفضل في تسجيل رقم CVE. وأضاف أنه يفعل ذلك لجذب الناس إلى مجال الأمن السيبراني.
هذا النهج يضع فرق الأمن في وضع استجابة طارئة، بينما يحصل المهاجمون على أكواد استغلال جاهزة دون الحاجة لتطوير أدواتهم الخاصة.
أي منتجات أخرى تضررت؟
لم يقتصر المستودع على libssh2 وGitea، بل شمل ثغرات مزعومة في منتجات متعددة تتضمن:
- Splunk
- RustDesk
- 7-Zip
- VLC
- AnyDesk
- OpenVPN
- c-ares
- Floci
تجدر الإشارة إلى أن موقع The Register لم يتحقق من صحة جميع هذه الادعاءات أو من فعالية الأكواد المنشورة.
هل استُخدم الذكاء الاصطناعي لاكتشاف هذه الثغرات؟
رجّح باحثون أمنيون، من بينهم إيثان أندروز المحلل في Federal Signal، أن bikini استخدم نماذج ذكاء اصطناعي متقدمة — وتحديداً GPT-5.5 Codex — لأتمتة عمليات الـ fuzzing واكتشاف الثغرات. هذا يُشكّل مؤشراً إضافياً على أن عصر اكتشاف الثغرات بالذكاء الاصطناعي قد بدأ فعلياً، مما يُنذر بصيف ساخن لفرق الأمن.
استجابةً لهذا التسريب، بنى أندروز 44 قاعدة كشف بلغة KQL تغطي المستودع بالكامل، مع توفير ترجمة لمنصات لا تستخدم KQL. وأشار إلى أن الثغرتين الأكثر خطورة تقنياً — ثغرة الكتابة على الـ heap في libssh2 وثغرة تجاوز المصادقة الافتراضية في Gitea عبر Docker — جرى التحقق منهما بشكل مستقل، ورُصد استغلال فعلي لهما.
ماذا حدث للمستودع؟
أزالت GitHub المستودع، لكن كما يُقال في عالم الإنترنت: لا شيء يموت فعلياً. من الآمن افتراض أن المهاجمين حصلوا على نسخ من الأكواد، بل ربما يستخدمون الذكاء الاصطناعي الآن للبحث عن أنظمة معرضة للخطر. أكواد إثبات المفهوم (PoC) التي نشرها bikini توفر عليهم وقت تطوير أدوات الاستغلال.
رأي Logicity
هذه الحادثة تكشف هشاشة نموذج الإفصاح المسؤول حين يقرر باحث واحد تجاوزه. المؤسسات التي تعتمد على مكتبات مفتوحة المصدر مثل libssh2 — وهي مكتبة تدخل في أدوات شائعة كـ curl وGit — تجد نفسها في سباق مع الزمن. البديل التجاري لـ Gitea المستضاف ذاتياً هو GitLab Self-Managed (يبدأ من الطبقة المجانية وصولاً إلى Ultimate بنحو 99 دولاراً للمستخدم شهرياً)، بينما GitHub Enterprise Server يُسعَّر حسب الاتفاقية. أما لإدارة SSH على مستوى المؤسسات، فثمة حلول مثل Teleport وStrongDM بتسعير يبدأ من آلاف الدولارات سنوياً. الاستثمار في أدوات مراقبة الثغرات مثل Tenable أو Qualys أو Wiz — التي تتراوح أسعارها من عشرات الآلاف إلى مئات الآلاف سنوياً حسب الحجم — بات ضرورة لا ترفاً.
كيف تحمي أنظمتك الآن؟
- حدّث libssh2 فور صدور الإصدار المرقّع رسمياً، أو طبّق الترقيع من الفرع الرئيسي إن كنت تبني من المصدر
- رقِّ Gitea إلى الإصدار 1.26.3 فوراً إن كنت تستخدم نشر Docker
- راجع إعدادات الشبكة لتقييد الوصول إلى خدمات SSH وGit من عناوين IP موثوقة فقط
- فعّل قواعد الكشف التي نشرها إيثان أندروز إن كنت تستخدم منصة SIEM تدعم KQL
- راقب سجلات الأنظمة بحثاً عن محاولات استغلال غير اعتيادية
الأسئلة الشائعة
ما هي ثغرة يوم صفر (zero-day)؟
هي ثغرة أمنية لم يعلم بها المطور أو البائع قبل أن يبدأ المهاجمون باستغلالها، مما يعني عدم وجود ترقيع متاح وقت الاكتشاف.
هل أثرت ثغرة libssh2 على خدمات سحابية في الخليج؟
لم ترد تقارير محددة حتى الآن، لكن مكتبة libssh2 تُستخدم في آلاف التطبيقات عالمياً بما فيها curl وGit، لذا يُنصح بمراجعة الأنظمة فوراً.
كيف أعرف إن كان نظامي يستخدم libssh2؟
ابحث عن المكتبة في قائمة التبعيات (dependencies) لمشاريعك، أو استخدم أدوات فحص مثل Trivy أو Snyk لاكتشاف المكتبات المعرضة للخطر.
ما الفرق بين Gitea وGitHub Enterprise؟
Gitea هو خادم Git مفتوح المصدر وخفيف الوزن للنشر الذاتي، بينما GitHub Enterprise منتج تجاري مغلق المصدر يوفر ميزات إدارية وأمنية متقدمة بتسعير مؤسسي.
هل يمكن للذكاء الاصطناعي اكتشاف ثغرات لم يجدها البشر؟
نعم، نماذج مثل GPT-5.5 Codex قادرة على أتمتة عمليات الـ fuzzing وتحليل الكود بسرعة تفوق البشر، مما يسرّع اكتشاف ثغرات كانت ستبقى مخفية لسنوات.
هل تحتاج مساعدة في التطبيق؟
إن كنت بحاجة لتقييم أمني عاجل لبنيتك التحتية أو مساعدة في تطبيق الترقيعات، تواصل مع فريق Logicity للحصول على توصيات مخصصة من خبراء الأمن السيبراني.
عمر حسن
كاتب تقني وابتكار
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
