CISAは、セルフホスト型Gitサービスにおける高深刻度の脆弱性が「既知の悪用されている脆弱性(KEV)」カタログに追加されたことを受け、連邦機関に対してGogsの使用を停止するか、直ちにロックダウンするよう命じた。
米国のサイバーセキュリティ機関は、このパストラバーサルの欠陥を月曜日にKEVリストへ追加し、連邦民間行政部門(FCEB)機関に対して緊急の是正要件を発動させた。CISAの勧告は、この脆弱性が攻撃で武器化されていると警告しており、回避策が利用できない場合は緩和策を適用するか、製品の使用を単に停止すべきだとしている。
「この種の脆弱性は、悪意あるサイバー行為者にとって頻繁に用いられる攻撃ベクターであり、連邦全体に重大なリスクをもたらす」とCISAは警報で述べた。
CVE-2025-8110として追跡されているこの脆弱性は、12月にWizのセキュリティ研究者によって初めて明らかにされた。研究者らは、感染したマシン上のマルウェアを調査していた際、7月に未修正の欠陥に偶然行き当たったという。
このバグにより、認証済みユーザーが保護を回避してホストシステム上の任意のファイルを上書きでき、事実上リモートコード実行が可能になる。公表時点で、インターネットに露出した700超のGogsインスタンスが進行中の攻撃で侵害済みであることが確認されており、オンラインで到達可能なサーバーは1,400台以上見つかっていた。
Goで書かれ、ユーザーが自前のサーバーやクラウド基盤でGitリポジトリをホストできるGogsは、この欠陥の修正をいまだ提供しておらず、ユーザーはオープン登録の無効化やVPNの背後にインスタンスを置くといった暫定策に奔走している。Wizはこの脆弱性を、以前の修正を回避するものとして、既定設定が有効な状態では容易に悪用できると説明し、次のように指摘した。「残念ながら、以前のCVEに対して実装された修正はシンボリックリンクを考慮していなかった。」
GogsはGitそのものと同様に、他のファイルやディレクトリへのポインターとして機能するシンボリックリンク(symlink)を許可しており、リポジトリの作業ツリー外の場所も含み得る。Wizによれば、穴を塞ぐための前回の試みはその組み合わせを考慮しておらず、攻撃者がすり抜けられる隙が残っていた。
脅威ハンターは攻撃を特定の人物やグループに帰属させてはいないものの、「脅威アクターがSupershell C2を使用していることに基づく私たちの推測では、彼らはアジアに所在している」とWiz研究者のYaara Shriki氏はThe Registerに語った。
連邦の枠外でGogsを運用している他のすべての人にとっても結論は同じだ。Gogsが外部に露出しているなら脆弱であり、それを解消する修正はまだ存在しない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/13/cisa_gogs_exploit/
