サイバーセキュリティ企業のWizは、セルフホスト型GitサービスであるGogsに存在する未パッチのゼロデイ脆弱性を悪用され、700件以上のGogsインスタンスが侵害されていると警告している。
CVE-2025-8110として追跡されているこのセキュリティ欠陥は、PutContents APIにおける不適切なシンボリックリンク処理の問題として説明されている。
この弱点により、認証済みの攻撃者はリポジトリ外のファイルを上書きしてリモートコード実行を達成できると、7月にこのバグを特定・報告したWizは説明している。
この問題は、サイバーセキュリティ企業の説明によると、Gogsのファイル更新APIにおけるパストラバーサルの欠陥であるCVE-2024-55947をシンボリックリンクで回避する手法だという。
2024年12月にGogsバージョン0.13.1でパッチが適用されたCVE-2024-55947は、攻撃者がサーバー上の任意のパス(機密性の高いシステムファイルや設定ファイルなど)にファイルを書き込めるようにするものだった。
この脆弱性を悪用されると、攻撃者は影響を受けるサーバーへのSSHアクセスを得ることができる。
この欠陥に対する修正ではパスパラメータに対する入力検証が追加されたが、シンボリックリンクが考慮されておらず、脅威アクターはこの攻撃ベクトルを数か月にわたり悪用してきた。
これは、GitとGogsがリポジトリ外のオブジェクトを指す可能性のあるシンボリックリンクの使用をサポートしており、さらにGogs APIがgitプロトコルの外側にあるファイルの変更を可能にしているためである。加えて、Gogs APIはシンボリックリンクの宛先を検証しない。
「Gogsは標準的なGitの挙動に従うため、ユーザーはシンボリックリンクをリポジトリにコミットできます。脆弱性は、APIが対象ファイルがリポジトリ外を指すシンボリックリンクかどうかを確認せずにファイルパスへ書き込みを行うことから発生します。これにより、シンボリックリンクが関与している場合、以前に行われたパス検証は事実上無意味になります」とWizは説明している。
この脆弱性を悪用するために、脅威アクターは新しいGitリポジトリを作成し、機密性の高いターゲットを指すシンボリックリンクをコミットし、PutContents APIを使ってそのシンボリックリンクにデータを書き込み、任意コマンド実行を達成するために.git/configを上書きする。
Wizによると、インターネット上に公開されているGogsインスタンスは1,400件以上あり、そのうち700件超がこれまでに侵害されているという。
「感染したすべてのインスタンスには共通したパターンがありました。8文字のランダムなオーナー/リポジトリ名が、同じ短い時間枠(7月10日)内に作成されていたのです。これは、単一のアクター、あるいは同じツールを使用するアクターグループが、すべての感染に関与していることを示唆しています」とWizは説明している。
インターネットに公開され、かつオープン登録が有効になっているGogsサーバーは、バージョン0.13.3以前を実行している場合、CVE-2025-8110に対して脆弱である。
Gogsのメンテナはこの脆弱性に対する修正に取り組んでいるが、12月10日時点ではパッチはまだ提供されていない。
翻訳元: https://www.securityweek.com/unpatched-gogs-zero-day-exploited-for-months/
