Злоумышленники активно используют уязвимость нулевого дня в Gogs, популярном сервисе для самостоятельного хостинга Git-репозиториев. Проект с открытым исходным кодом пока не располагает исправлением.
По данным исследователей Wiz, более 700 экземпляров Gogs уже были скомпрометированы в ходе текущих атак. Специалисты обнаружили уязвимость нулевого дня «случайно» в июле, когда анализировали вредоносное ПО на зараженной машине.
«В ходе анализа попыток эксплуатации мы выявили, что злоумышленник использовал ранее неизвестный недостаток для компрометации экземпляров. Мы ответственно сообщили об этой уязвимости сопровождающим проекта», — заявили в среду исследователи безопасности Гиль Тикочински и Яара Шрики в своем блоге.
Команда сообщила о проблеме сопровождающим Gogs, которые «в настоящее время работают над исправлением», написали Тикочински и Шрики. Однако, добавили они, «активная эксплуатация продолжается».
Уязвимость отслеживается под идентификатором CVE-2025-8110. Любой, кто использует сервер Gogs (версии 0.13.3 или более ранних), доступный из Интернета и с включенной открытой регистрацией (что является настройкой по умолчанию), уязвим.
CVE-2025-8110 по сути является обходом ранее исправленной уязвимости (CVE-2024-55947), которая позволяла аутентифицированным пользователям перезаписывать файлы за пределами репозитория, что приводило к удаленному выполнению кода (RCE). Предыдущую RCE-уязвимость обнаружил Манассех Чжоу.
«К сожалению, исправление, реализованное для предыдущего CVE, не учитывало символические ссылки», — написали специалисты Wiz.
Gogs написан на Go и позволяет пользователям размещать Git-репозитории на собственных серверах или облачной инфраструктуре, вместо использования GitHub или других сторонних сервисов.
Gogs и Git в целом поддерживают символические ссылки (или симлинки). Они действуют как указатели или ярлыки на другой файл или каталог и могут указывать на объекты за пределами репозитория. Кроме того, API Gogs позволяет изменять файлы вне стандартного протокола Git.
Предыдущее исправление не учитывало этот тип злоупотребления символическими ссылками, что позволяет злоумышленникам использовать уязвимость и удаленно выполнять вредоносный код за четыре шага, которые «тривиальны для любого пользователя с правами на создание репозитория», включенными по умолчанию, согласно Wiz.
Вот эти шаги:
- Злоумышленник создает стандартный Git-репозиторий.
- Он фиксирует одну символическую ссылку, указывающую на конфиденциальный объект.
- Используя API PutContents, он записывает данные в символическую ссылку. Система следует по ссылке и перезаписывает целевой файл за пределами репозитория.
- Перезаписав файл .git/config (в частности, sshCommand), злоумышленник может заставить систему выполнить произвольные команды.
Около 1400 экземпляров Gogs доступны из Интернета, и из них Wiz подтвердил заражение более 700. Все они демонстрируют 8-символьное случайное имя владельца/репозитория, созданное 10 июля, и полезную нагрузку, использующую фреймворк управления и контроля Supershell.
Хотя охотники за угрозами не приписали атаки конкретному лицу или группе, «наше предположение, основанное на использовании злоумышленниками Supershell C2, заключается в том, что они находятся в Азии», — сообщил Шрики изданию The Register.
Mandiant, также принадлежащая Google (Wiz вскоре будет приобретена Google), в прошлом году задокументировала, как китайские шпионы использовали критическую уязвимость в F5 через Supershell и применяли этот эксплойт для продажи доступа к скомпрометированным оборонным организациям США, правительственным учреждениям Великобритании и сотням других организаций.
Также неясно, что именно делают цифровые злоумышленники, получив доступ к уязвимым экземплярам.
«В средах, за которыми мы наблюдаем, вредоносное ПО было быстро удалено, поэтому мы не видели никакой активности после эксплуатации», — сказал Шрики. «У нас нет информации о других скомпрометированных серверах, кроме того факта, что они скомпрометированы».
The Register обратился к Git с вопросом о сроках исправления и обновит эту статью, как только получит ответ от команды безопасности. А пока Wiz рекомендует немедленно отключить открытую регистрацию (если она не требуется) и ограничить доступ из Интернета, разместив самохостинговые Git-сервисы за VPN.
Кроме того, будьте внимательны к недавно созданным репозиториям со случайными 8-символьными именами или к неожиданному использованию API PutContents.
Исследователи опубликовали полный список индикаторов компрометации, с которым также стоит ознакомиться. ®
Автор – Jessica Lyons
