Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало федеральным ведомствам немедленно прекратить использование Gogs или усилить защиту сервиса после того, как уязвимость высокой степени критичности в этом самоуправляемом Git-сервисе была внесена в каталог известных эксплуатируемых уязвимостей (KEV).
В понедельник американское агентство по кибербезопасности добавило эту уязвимость, связанную с обходом путей, в список KEV, что привело к необходимости срочного устранения проблемы для федеральных гражданских исполнительных органов (FCEB). В бюллетене CISA предупреждается, что уязвимость уже используется злоумышленниками в атаках, и ведомствам следует внедрить меры по смягчению последствий или полностью отказаться от продукта, если обходных путей нет.
“Этот тип уязвимости часто служит вектором атак для вредоносных киберсубъектов и представляет значительные риски для федерального предприятия”, — говорится в оповещении CISA.
Уязвимость, отслеживаемая как CVE-2025-8110, была впервые обнародована исследователями безопасности из Wiz в декабре; они обнаружили эту необновленную брешь еще в июле, исследуя вредоносное ПО на зараженной машине.
Эта ошибка позволяет аутентифицированным пользователям обходить механизмы защиты и перезаписывать произвольные файлы в системном хосте, что фактически открывает путь к удаленному выполнению кода. На момент раскрытия информации уже было подтверждено, что более 700 экземпляров Gogs, доступных из интернета, скомпрометированы в ходе продолжающихся атак, при этом в сети было обнаружено около 1400 серверов.
Разработчики Gogs, который написан на Go и позволяет пользователям размещать Git-репозитории на собственных серверах или в облачной инфраструктуре, до сих пор не выпустили исправление для этой уязвимости. Это вынуждает пользователей искать временные меры, такие как отключение открытой регистрации и защита экземпляров с помощью VPN. Исследователи Wiz охарактеризовали уязвимость как обход предыдущего исправления и легкую в эксплуатации при стандартных настройках, отметив: “К сожалению, исправление, внедренное для предыдущего CVE, не учитывало символические ссылки”.
Gogs, как и сам Git, допускает использование символических ссылок (symlinks), которые служат указателями на другие файлы или каталоги, включая местоположения за пределами рабочего дерева репозитория. По данным Wiz, предыдущая попытка закрыть эту лазейку не учла данную комбинацию, оставив проход, которым могли воспользоваться злоумышленники.
Хотя специалисты по поиску угроз не смогли приписать атаки конкретному лицу или группе, “наше предположение, основанное на использовании Supershell C2 злоумышленниками, заключается в том, что они базируются в Азии”, — сообщила The Register исследователь Wiz Яара Шрики.
Для всех, кто использует Gogs за пределами государственных структур, вывод остается тем же: если Gogs доступен извне, он уязвим, и пока нет исправления, которое могло бы это изменить. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
