攻撃者は現在、Gogs(広く利用されているセルフホスト型Gitサービス)に存在する新たに発見されたゼロデイ脆弱性を積極的に悪用しており、この問題に対する公式パッチはまだ公開されていません。Wizによると、進行中のキャンペーンによりすでに700以上のインスタンスが侵害されており、エクスプロイトコードは今も流通し続けています。
研究者によれば、この欠陥はほとんど偶然に発見されました。7月、感染したマシンを分析していた際に、Gogsを悪用しようとする異常な試みが観測されました。さらなる調査の結果、攻撃者が公開されたインスタンスを侵害するために、これまで知られていなかった脆弱性を悪用していることが判明しました。この問題は直ちにGogsのメンテナに報告され、現在修正作業が進められていますが、攻撃は依然として止んでいません。
この脆弱性にはCVE-2025-8110が割り当てられています。インターネットに公開され、かつユーザーのオープン登録が有効になっている(デフォルト設定)Gogsサーバーで、バージョン0.13.3以前を実行しているものがリスクにさらされています。本質的には、認証済みユーザーがリポジトリ外のファイルを上書きし、リモートコード実行を達成できてしまうCVE-2024-55947に対する以前のパッチを回避するものです。この元の欠陥は研究者Manasseh Zhouによって発見されましたが、結果として、その対策は不完全だったことが明らかになりました。
Wizによると、根本的な見落としはシンボリックリンクの扱いにあります。Goで書かれたGogsは、GitHubなどのプロバイダに依存せず、オンプレミスやクラウド上で独自のGitリポジトリをホストできるようにするものです。GitとGogsはいずれもシンボリックリンク(他のファイルやディレクトリを指すポインタのようなもの)をサポートしており、これらはリポジトリ外の場所を参照する場合があります。さらに問題を複雑にしているのは、GogsのAPIが標準的なGitプロトコルの外側でファイルの変更を許可している点です。
まさにこの機能の組み合わせが、新たな欠陥を生み出しました。Wizは、この脆弱性の悪用は、リポジトリを作成する権限を持つ任意のユーザー(デフォルトで有効)にとって、わずかな手順で実行可能だと見積もっています。攻撃者はまず標準的なGitリポジトリを作成し、リポジトリ外の機密ファイルを指すシンボリックリンクをコミットします。次に、PutContents APIを用いて、そのシンボリックリンクにデータを書き込みます。システムはリンクをたどり、リポジトリ境界の外側にある対象ファイルを上書きします。この方法で.git/configファイル、特にsshCommandパラメータを変更することで、攻撃者はリポジトリ操作中に任意のコマンドを実行させることができ、その結果としてサーバー上でリモートコード実行が可能になります。
オンライン上では、およそ1,400の公開Gogsインスタンスが確認されています。Wizの報告によると、そのうち700以上がすでにこのキャンペーンで侵害されています。影響を受けたすべてのサーバーには共通の特徴があり、7月10日に作成された8文字のランダムな文字列からなるオーナー名とリポジトリ名、そしてSupershellリモート管理フレームワークを中核としたペイロードが存在します。
攻撃者の正体はいまだ不明です。研究者らは決定的な帰属判断は避けつつも、Supershellがこれまでにアジア系脅威グループに関連するキャンペーンで使用されてきたことを指摘しています。昨年、Mandiantは、中国のスパイ活動グループがF5機器の重大な脆弱性をSupershellを用いて悪用し、その後侵害したネットワークへのアクセスを販売していたことを文書化しました。被害者には、米国の防衛関連組織、英国政府機関、その他数百の組織が含まれていました。
現在進行中の攻撃の波において、敵対者の最終的な目的は依然として不明です。Wizによると、感染が直接観測された環境では、マルウェアはすぐに削除され、攻撃者の活動をさらに分析することはできませんでした。他の侵害サーバーについては、確認できているのは侵害の痕跡(IoC)のみです。
公式パッチがリリースされるまでの間、WizはGogs管理者に対し、即時の防御措置を講じるよう強く求めています。推奨事項の中でも特に重要なのは、厳密に必要でない限りオープンなユーザー登録を無効化すること、およびVPNやその他の制御されたリモートアクセス機構の背後に配置することで、セルフホスト型Gitサービスへのアクセスを制限することです。
また管理者は、8文字のランダムな名前を持つ新規リポジトリの作成を注意深く監視し、PutContents APIの不審な利用にも目を光らせるよう勧告されています。Wizは、運用担当者が自らのシステムがこのキャンペーンの影響を受けているかどうかを評価するために利用できる、詳細な侵害指標(IoC)の一覧を公開しています。
翻訳元: https://meterpreter.org/700-instances-hacked-gogs-zero-day-cve-2025-8110-under-active-exploitation/
