人気のセルフホスト型 Git サービスである Gogs に存在する未パッチのゼロデイ脆弱性により、攻撃者はインターネットに公開されたインスタンスでリモートコード実行を行い、数百台のサーバーを侵害できるようになっています。
Gogs は Go 言語で書かれ、GitLab や GitHub Enterprise の代替として設計されており、リモートでのコラボレーションのためにインターネット上に公開されていることも多くあります。
これらの攻撃で悪用されている Gogs の RCE 脆弱性 CVE-2025-8110 は、PutContents API におけるパストラバーサルの弱点に起因します。この欠陥により、攻撃者はシンボリックリンクを利用してリポジトリ外のファイルを上書きすることで、以前にパッチが適用されたリモートコード実行のバグ(CVE-2024-55947)に対して実装された保護を回避できます。
CVE-2024-55947 のセキュリティバグに対応した Gogs のバージョンでは、ディレクトリトラバーサルを防ぐためにパス名の検証が行われていますが、依然としてシンボリックリンクの遷移先は検証されていません。攻撃者は、機密性の高いシステムファイルを指すシンボリックリンクを含むリポジトリを作成し、その後 PutContents API を使ってシンボリックリンク経由でデータを書き込み、リポジトリ外のターゲットを上書きすることでこれを悪用できます。
Git の設定ファイル、特に sshCommand 設定を上書きすることで、攻撃者はターゲットシステムに任意のコマンドを実行させることができます。
Wiz Research は、顧客のインターネット公開 Gogs サーバーに影響していたマルウェア感染を調査していた 7 月に、この脆弱性を発見しました。研究者らは合計で、オンラインに公開されている Gogs サーバーを 1,400 台以上 特定し、そのうち 700 以上のインスタンスで侵害の兆候が確認されました。
これらの攻撃の調査で特定されたすべての侵害インスタンスには同一のパターンが見られました。具体的には、7 月の同じ期間に作成されたランダムな 8 文字の名前を持つリポジトリが存在しており、自動化ツールを用いる単一の攻撃者またはグループが、このキャンペーンの背後にいることを示唆しています。
「外部スキャンにおいて、インターネットに公開されている Gogs サーバーを 1,400 台以上特定しました。これらのインスタンスの多くは、デフォルトで『Open Registration(自由登録)』が有効になっており、巨大な攻撃対象領域を生み出しています」と 彼らは述べています。
Wiz はまた、展開されていたマルウェアが、Web サービス経由でリバース SSH シェルを確立するオープンソースのコマンド&コントロール(C2)フレームワークである Supershell を用いて作成されていたことも突き止めました。さらなる分析により、このマルウェアが 119.45.176[.]196 のコマンド&コントロールサーバーと通信していたことが判明しました。
研究者らは 7 月 17 日に Gogs のメンテナにこの脆弱性を報告し、メンテナは 10 月 30 日にこの欠陥を認めましたが、その時点ではまだパッチを開発中でした。Wiz Research が共有した開示タイムラインによると、11 月 1 日には第 2 波の攻撃が観測されています。
Gogs ユーザーは、直ちにデフォルトの Open Registration 設定を無効にし、VPN または許可リストを用いてサーバーへのアクセスを制限することが推奨されています。すでに自分のインスタンスが侵害されているかどうかを確認したい場合は、PutContents API の不審な利用状況や、ランダムな 8 文字の名前を持つリポジトリが存在しないかを確認してください。
