Gogs Git zero-day kihasználás
A Wiz Research jelentése szerint a CVE-2025-8110 sebezhetőség egy aktívan kihasznált, zero-day távoli kódvégrehajtási RCE hibát jelent a népszerű, önállóan üzemeltethető Gogs Git-szolgáltatásban. A hiba lényege, hogy egy korábban javított RCE sebezhetőség (CVE-2024-55947) kikerülése szimbólumos link használatával, ami lehetővé teszi az authentikált felhasználók számára, hogy a repository határain kívül írjanak felül fájlokat, így távoli kódvégrehajtásra nyílik lehetőség.
A Wiz kutatói 2025 júliusában fedezték fel a hibát, miközben egy ügyfél rendszerén vizsgáltak malwarert, és kiderült, hogy a támadók már aktívan kihasználják a sebezhetőséget. A kutatás szerint több mint 1400 nyilvánosan elérhető Gogs szerver közül legalább 700-at sikeresen kompromittáltak, és a javítás jelenleg még nem áll rendelkezésre. A sebezhetőség különösen veszélyes, mert a Gogs alapértelmezés szerint engedélyezi a nyílt regisztrációt, így a támadók könnyen létrehozhatnak felhasználói fiókot, és kihasználhatják a hibát.
A sebezhetőség kihasználásához elegendő egy olyan felhasználói fiók, amelyiknek van jogosultsága repository létrehozására. A támadók szimbólumos linkekkel kikerülik a korábbi javítást, és így felülírhatnak érzékeny fájlokat a rendszeren, például a .git/config fájlt, majd beinjektálhatnak káros parancsokat, amivel SSH-hozáférést szerezhetnek a szerverhez. A Wiz szerint a támadók a Supershell nevű nyílt forráskódú C2 használják a káros tevékenységek koordinálására, és a kompromittált rendszereken gyakran véletlenszerű 8 karakteres nevű repositorykat hoznak létre.
