セルフホスト型Gitサービス「Gogs」に影響する重大度の高いセキュリティ欠陥が現在積極的に悪用されており、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が警告を発した。
この問題はCISAの「既知の悪用されている脆弱性(KEV)」カタログにも追加され、実環境での攻撃が確認されていることを示している。
CVE-2025-8110として追跡され、CVSS v4.0で8.7と評価されたこの脆弱性は、GogsのPutContents APIにおけるシンボリックリンクの不適切な取り扱いに起因する。
この欠陥により、認証済みユーザーがリポジトリ外のファイルを上書きでき、結果としてリモートコード実行(RCE)に直結し得る。
大規模な悪用
この脆弱性は、顧客システムでのマルウェア感染を調査していた際にWizの研究者によって発見された。分析の結果、攻撃者がこの欠陥をゼロデイとして悪用し、昨年、類似の問題(CVE-2024-55947)に対して導入された保護を回避していたことが判明した。
攻撃者は、リポジトリ内にシンボリックリンクをコミットし、その後API経由でそこへ書き込むことで、基盤となるOSにサーバー上の別の場所にある機密ファイルを上書きさせることができる。一般的な標的の一つはGitの設定ファイルで、sshCommand設定を改変することで任意のコード実行を得られる可能性がある。
Wizは、侵害されたGogsインスタンスを700件超特定したと報告している。Censysのデータによれば、現在インターネットに露出しているGogsサーバーは1602台で、中国、米国、ドイツに最も集中している。
継続するリスク
現時点でCVE-2025-8110に対する公式パッチは提供されていないが、問題に対処するコード変更はプロジェクトのメインブランチに提出されている。
あるメンテナーは、新しいイメージがビルドされ次第、最新および一つ前のGogsリリースの双方に修正が含まれると示した。
Gitサービスのセキュリティに関する関連記事: Emeraldwhale攻撃で誤設定のGit設定が標的に
それまでの間も、攻撃者はこの欠陥の悪用を続けている。Wizは、2025年7月に始まる複数回の活動の波を観測しており、影響を受けたサーバー全体にSupershellのコマンド&コントロール(C2)フレームワークに関連するマルウェア・ペイロードが展開されていた。
推奨される緩和策
CISAは連邦政府の文民行政機関(FCEB)に対し、2026年2月2日までに緩和策を適用するよう指示した。Gogsを運用するその他の組織に対しては、研究者が直ちに以下の防御策を講じることを推奨している。
-
不要であればオープン登録を無効化する
-
VPNまたはIP許可リストを用いてGogsサーバーへのアクセスを制限する
-
ランダムな8文字の名前を持つリポジトリや、不審なAPI使用を監視する
この脆弱性はGogs 0.13.3までのバージョンに影響し、それらのリリースを実行しているあらゆるシステムで悪用され得る。パッチが広く利用可能になるまで、管理者は露出しているインスタンスが高リスクにあると想定し、それに応じて対応するよう強く求められる。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-flags-exploited-gogs-flaw-no/
