米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、ゼロデイ攻撃で悪用された高深刻度のGogs脆弱性からシステムを保護するよう、政府機関に命じた。
GitLabやGitHub Enterpriseの代替として設計され、Goで書かれたGogsは、リモートでの共同作業のためにオンライン上に公開されていることが多い。
CVE-2025-8110として追跡されているこのリモートコード実行(RCE)のセキュリティ欠陥は、PutContents APIにおけるパストラバーサルの弱点に起因し、認証済みの攻撃者が、シンボリックリンクを介してリポジトリ外のファイルを上書きすることで、以前にパッチが適用されたRCEバグ(CVE-2024-55947)向けに実装された保護を回避できるようにする。
攻撃者は、機密性の高いシステムファイルを指すシンボリックリンクを含むリポジトリを作成し、その後PutContents APIを使ってシンボリックリンク経由でデータを書き込み、リポジトリ外の対象を上書きすることで、この欠陥を悪用できる。Gitの設定ファイル、特にsshCommand設定を上書きすることで、脅威アクターは標的システムに任意のコマンドを実行させることができる。
Wiz Researchは7月、顧客のインターネット公開Gogsサーバーに影響したマルウェア感染を調査する中でこの脆弱性を発見し、7月17日にGogsのメンテナーへ欠陥を報告した。メンテナーは3か月後の10月30日にWizの報告を認め、パッチを公開した。CVE-2025-8110向けのパッチは先週リリースされ、すべてのファイル書き込みエントリポイントでシンボリックリンクを考慮したパス検証を追加している。
Wiz Researchが共有した開示タイムラインによると、この脆弱性をゼロデイとして狙う第2波の攻撃が11月1日に観測された。
これらのキャンペーンを調査する中で、Wizの研究者はオンラインに公開されたGogsサーバーが1,400台超(そのうち1,250台は依然として公開状態)あること、さらに700件超のインスタンスに侵害の兆候があることを見つけた。
CISAは今回、Wizの報告を確認し、このセキュリティ欠陥を追加して、実際に悪用されている脆弱性の一覧に加えた。連邦文民行政機関(FCEB)に対し、2026年2月2日までの3週間以内にパッチを適用するよう命じている。
FCEB機関とは、エネルギー省、司法省、国土安全保障省、国務省など、軍ではない米国の行政府機関を指す。
「この種の脆弱性は、悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦全体に重大なリスクをもたらす」とCISAは警告した。「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止すること。」
攻撃対象領域をさらに減らすため、Gogsユーザーには、既定で有効になっているオープン登録設定を直ちに無効化し、VPNまたは許可リストを用いてサーバーへのアクセスを制限することが推奨されている。
さらに、自身のGogsインスタンスに侵害の兆候がないか確認したい管理者は、PutContents APIの不審な使用や、2回の攻撃波の期間中に作成されたランダムな8文字の名前を持つリポジトリを探すべきだ。
