脆弱性の発覚
セキュリティ研究者らは最近、Gogsにおける深刻なゼロデイ脆弱性を特定した。このセルフホスト型Gitプラットフォームは、ソースコード管理および共同エンジニアリングワークフローを支援するものである。この根本的なアーキテクチャ上の欠陥により、未認証の操作者が任意のコードをリモートで実行できる。具体的には、この脅威ベクトルはインターネットに公開されたサーバー展開を世界規模で標的としている。
技術的パラメータとプロファイル指標
Rapid7のシニアスペシャリストであるJonah Burgessが、この深刻なシステム異常を発見した。現時点では、この引数インジェクション脆弱性に正式なCVE識別子は付与されていない。さらに、この欠陥はバージョン0.14.2および0.15.0+devを含む現行の本番リリースに影響を与える。重要なのは、このエクスプロイトの実行に必要な権限が通常の登録ユーザー権限のみであるという点だ。そのため、攻撃者はアーキテクチャを侵害するために管理者権限を必要としない。
自律的なエクスプロイトの仕組み
企業はGitHub EnterpriseやGitLabのセルフホスト代替として、Gogsを頻繁に導入している。このアプリケーションはGo言語で構築されているため、エンジニアリングチームはしばしばインターネットに直接公開する。残念なことに、デフォルト設定では制限なしのオープン登録が許可されている。また、デフォルトのパラメータでは、管理者の監督なしに新規プロフィールがリポジトリを作成できる。その結果、自律的な脅威アクターは、一切のサポートなしにプロフィールを登録し、悪意あるリポジトリを初期化することが可能となる。
リベースルーティンの悪用
この攻撃ベクトルは、不正な形式のブランチ名を持つ不正なプルリクエストから始まる。具体的には、この悪意ある名前が危険な--execフラグをネイティブのgit rebaseユーティリティに注入する。このインジェクションは、プラットフォームが「マージ前にリベース」ディレクティブを処理する際に発生する。これにより、攻撃者はアクティブなGogsプロセスのセキュリティコンテキスト下で任意のコードを実行することに成功する。
広範な影響範囲と下流リスク
侵害による下流への影響は極めて深刻である。まず、このエクスプロイトにより完全なサーバー乗っ取りと不正なリポジトリの外部流出が可能となる。さらに、攻撃者は隣接する組織に属する高度に機密性の高いプライベートリポジトリにアクセスできる。同時に、ペイロードはパスワードハッシュ、APIトークン、SSHキーといった重要なセキュリティ資産を窃取する。最終的に、攻撃者は多要素認証シークレットを収集し、ラテラルムーブメントを実行してホストされたソースコードを改ざんする。
開示タイムラインと公開状況
Rapid7は3月17日にGogs開発チームへこの深刻なセキュリティ上の異常を最初に開示した。その後、プロジェクト担当者は3月28日に技術レポートの受領を確認した。しかし、エンジニアリングチームはいまだ正式な修正パッチをリリースしていない。さらに、リーダーシップは以降の状況確認の問い合わせにも回答していない。Burgessは、別のコードブロックに以前の修正が存在するにもかかわらず、この問題がネイティブのMerge()関数に起因すると指摘している。
脅威テレメトリとインターネット露出状況
Shadowserverのような脅威監視団体は、インターネットにアクセス可能な2,400以上のGogsインスタンスを追跡している。地理的には、これらの展開の大部分がアジアのネットワーク全体に集中している。一方、数百のアクティブなエンドポイントがヨーロッパ域内で稼働している。また、Shodan のインテリジェンスマッピングでは、明確なGogsのアーキテクチャフットプリントを示す1,000以上の固有IPアドレスが特定されている。
歴史的背景:CVE-2025-8110の影
この事態はCVE-2025-8110によって確立された歴史的先例と密接に類似している。Gogsチームは12月初旬にその別個のRCEエクスプロイトを修正した。その修正以前には、実際の攻撃キャンペーンが数百のセルフホストサーバーを積極的に侵害していた。その後、Wiz Researchがこのベクトルを公開し、CISAが連邦機関に対して即時の修正対応を義務付けた。
翻訳元: https://meterpreter.org/gogs-argument-injection-vulnerability-unpatched-rce/
