Une vulnérabilité zero-day non corrigée dans Gogs, un service Git auto-hébergé populaire, a permis aux attaquants d’obtenir l’exécution de code à distance sur des instances orientées Internet et de compromettre des centaines de serveurs.
Écrit en Go et conçu comme une alternative à GitLab ou GitHub Enterprise, Gogs est également souvent exposé en ligne pour la collaboration à distance.
CVE-2025-8110, la vulnérabilité Gogs RCE exploitée dans ces attaques, découle d’une faiblesse de traversée de chemin dans l’API PutContents. La faille permet aux acteurs de la menace de contourner les protections mises en œuvre pour un bogue d’exécution de code à distance précédemment corrigé (CVE-2024-55947) en utilisant des liens symboliques pour écraser les fichiers en dehors du référentiel.
Alors que les versions de Gogs qui corrigeaient le bogue de sécurité CVE-2024-55947 valident désormais les noms de chemin pour empêcher la traversée de répertoire, elles ne parviennent toujours pas à valider la destination des liens symboliques. Les attaquants peuvent abuser de cela en créant des référentiels contenant des liens symboliques pointant vers des fichiers système sensibles, puis en utilisant l’API PutContents pour écrire des données via le lien symbolique, écrasant les cibles en dehors du référentiel.
En écrasant les fichiers de configuration Git, en particulier le paramètre sshCommand, les attaquants peuvent forcer les systèmes cibles à exécuter des commandes arbitraires.
Wiz Research a découvert la vulnérabilité en juillet alors qu’il enquêtait sur une infection par un logiciel malveillant affectant le serveur Gogs d’un client connecté à Internet. Au total, les chercheurs ont trouvé plus de 1 400 serveurs Gogs exposés en ligne, avec plus de 700 instances montrant des signes de compromission.
Toutes les instances compromises identifiées lors de l’enquête sur ces attaques ont montré des schémas identiques, y compris des référentiels avec des noms aléatoires à huit caractères créés dans le même laps de temps en juillet, suggérant qu’un seul acteur ou groupe utilisant des outils automatisés est derrière la campagne.
« Lors de notre analyse externe, nous avons identifié plus de 1 400 serveurs Gogs exposés publiquement à Internet. Beaucoup de ces instances sont configurées avec » Enregistrement ouvert « activé par défaut, créant une surface d’attaque massive », ont-ils déclaré.
Wiz a également découvert que le logiciel malveillant déployé avait été créé à l’aide de Supershell, un framework de commande et de contrôle (C2) open source qui établit des shells SSH inversés sur des services Web. Une analyse plus approfondie a révélé que le logiciel malveillant communiquait avec un serveur de commande et de contrôle à 119.45.176[.]196.
Les chercheurs ont signalé la vulnérabilité aux responsables de Gogs le 17 juillet, et les responsables ont reconnu la faille le 30 octobre, alors qu’ils développaient encore un correctif. Selon un calendrier de divulgation partagé par Wiz Research, une deuxième vague d’attaques a été observée le 1er novembre.
Il est conseillé aux utilisateurs de Gogs de désactiver immédiatement le paramètre par défaut d’enregistrement ouvert et de limiter l’accès au serveur à l’aide d’un VPN ou d’une liste d’autorisations. Ceux qui souhaitent vérifier si leur instance a déjà été compromise doivent rechercher une utilisation suspecte de l’API PutContents et des référentiels avec des noms aléatoires à 8 caractères.