出典: JUN LI via Alamy Stock Photo
セルフホスト型 Git サービスである Gogs の脆弱性が広範に悪用されており、現時点でパッチは提供されていない。
これは Wiz によるもので、同社は 12 月 10 日に CVE-2025-8110 に関する調査結果を公開した。これは、バイパスであり、昨年 Gogs に対して公開されたリモートコード実行脆弱性(CVE-2024-55947)を回避するものだ。前回のバグにはパッチが適用されたものの、今回の新たな欠陥により、元の修正のセキュリティギャップを突いて、脅威アクターが脆弱な環境でコードを実行できてしまう。
Gogs は、必要要件が少なく使いやすいことから人気のオープンソースソフトウェアだ。オンプレミスおよびクラウド環境の数千件で利用されており、今回のような脆弱性にとってより懸念されるのは、Wiz の研究者 Gili Tikochinski 氏と Yaara Shriki 氏によれば、「リモートでのコラボレーションを可能にするため、インターネットに公開されていることが多い」点である。
CVE-2025-8110 Works">CVE-2025-8110 の仕組み
Tikochinski 氏と Shriki 氏によると、以前のバグ CVE-2024-55947 は「PutContents API におけるパストラバーサルの弱点を悪用した」ものだった。
「これにより、攻撃者は Git リポジトリディレクトリの外側にファイルを書き込むことができ、機密性の高いシステムファイルや設定ファイルを上書きしてコード実行を達成することが可能になっていました」と、彼らはブログ記事の中で記している。「メンテナーは、パスパラメータに対する入力バリデーションを追加することで、これに対処しました。」
しかし研究者らが説明するところによると、この修正の問題点は、シンボリックリンク、より具体的にはシンボリックリンクの悪用を考慮していなかったことだ。
「Gogs の API は、通常の Git プロトコルとは別にファイルの変更を可能にしますが、現在はパス名を検証しているものの、シンボリックリンクの宛先を検証していません。Gogs は標準的な Git の挙動に従っているため、ユーザーがシンボリックリンクをリポジトリにコミットすることを許可しています」と Tikochinski 氏と Shriki 氏は記している。「この脆弱性は、API がファイルパスに書き込みを行う際に、対象のファイルがリポジトリ外を指すシンボリックリンクであるかどうかを確認しないことから生じます。シンボリックリンクが関与すると、以前のパス検証は事実上無意味になってしまうのです。」
この新たな脆弱性における最終的な攻撃チェーンは単純だ。攻撃者は標準的な Git リポジトリを作成し、シンボリックリンクを用いて機密性の高いターゲットファイルを上書きし、その後任意のコマンドを実行できるようになる。
Wiz が最初に悪用の兆候を確認したのは 7 月 10 日であり、その後、研究者らが「自動化された『一撃離脱(smash-and-grab)』型」のマルウェアキャンペーンと表現するものへと急拡大した。おそらく単独の脅威アクターによって主導されているとみられる。この攻撃の背後にいる人物は不明だが、Wiz の研究者は感染したシステム上でSupershellを検出した。これは、中国と関連付けられた脅威アクターによって使用されてきたオープンソースのコマンド&コントロールフレームワークである。
Shodan を用いた調査により、Wiz は合計 1,400 件の公開インスタンスと 700 件以上の侵害インスタンスを検出し、2 分の 1 を超える侵害率となった。「すべての感染インスタンスは同じパターンを共有していました。すなわち、同じ短い時間枠(7 月 10 日)内に作成された、8 文字のランダムなオーナー名/リポジトリ名です。これは、単一のアクター、あるいは同じツールを使用するアクター集団が、すべての感染に関与していることを示唆しています」と Wiz は述べている。
CVE-2025-8110 Timeline and Mitigation">CVE-2025-8110 のタイムラインと緩和策
7 月 17 日、Wiz はこの脆弱性を Gogs のメンテナーに報告し、メンテナー側は 3 カ月以上後の 10 月 30 日になって受領を認めた。
Wiz Research の広報担当者はメールで Dark Reading に対し、同社は責任ある情報開示の手順に従い、アクティブな悪用を確認してから 2 日以内に Gogs に脆弱性を報告したと述べている。
「当社はより早期の開示も検討しましたが、最終的には協調的な修正を期待して待つことにしました」と Wiz Research は述べている。「しかし、脆弱性が未修正のままであるにもかかわらず、野放しでの悪用が再び確認されたため、他者が自らの環境を保護できるよう、調査結果を公開することを選択しました。」
2 回目の攻撃の波は 11 月 1 日に検出され、ブログ公開時点でも CVE-2025-8110 にはパッチが適用されていない。
Wiz によれば、バージョン 0.13.3 以下でオープン登録(デフォルト設定)が有効になっている Gogs インスタンスは CVE-2025-8110 に対して脆弱である。脆弱な組織には、不要であれば直ちにオープン登録を無効化し、インターネットへの公開を制限する(インスタンスを VPN の背後に置く、あるいは許可リストを使用するなど)、さらにランダムな 8 文字名のリポジトリ作成や、想定外の PutContents API の使用を監視すること(感染の兆候となり得る)を推奨している。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/attackers-exploited-gogs-zero-day-months
