Egy korábbi javítás kevésnek bizonyult
A CVE-2025-8110 néven ismert sebezhetőséggel lényegében meg lehet kerülni egy korábban javított hibát (CVE-2024-55947). Ez lehetővé teszi, hogy a támadó hitelesített felhasználóként tetszőleges, a tárhelyen kívüli fájlokat írjon felül, így távoli kódvégrehajtást érhet el. A Gogs főként Go nyelven készült, és lehetővé teszi, hogy bárki saját szerveren kezeljen Git-tárhelyeket harmadik fél (például a GitHub) nélkül.
Az előző javítás nem védte ki a szimbolikus linkekkel (symlinkekkel) való visszaélést, ami különösen veszélyes: ezek révén a támadó négy egyszerű lépésben elérheti a rendszer feletti irányítást. Előbb létrehoz egy tárhelyet, beállít egy szimbolikus linket egy érzékeny célfájlra, majd az API-n keresztül ír erre a linkre, így felülírja például a .git/config fájlt, és ezzel tetszőleges parancsokat futtathat.
Fertőzött példányok, ázsiai támadók nyomai
Körülbelül 1 400, interneten elérhető Gogs példányból több mint 700-at sikeresen fertőztek meg. Mindegyiken ugyanaz a séma látható: egy véletlenszerű, 8 karakteres névvel létrehozott fiók és egy, a Supershell távoli vezérlőkeretrendszert használó káros program. A részletek ismeretében más fényt kap a történet, ugyanis ez a megoldás korábban is felbukkant már Ázsiából érkező kritikus támadásoknál. Ezáltal arra lehet következtetni, hogy a jelenlegi támadások hátterében is valószínűleg ázsiai elkövetők állnak.
Az is igaz ugyanakkor, hogy a legtöbb fertőzött környezetben gyorsan eltávolították a rosszindulatú programot, így utólagos károkozást, adatszivárgást nem tudtak kimutatni – azonban az, hogy pontosan mit tettek a támadók, többnyire nem ismert.
Javasolt óvintézkedések és megelőzés
Mivel a Gogs fejlesztői még dolgoznak a hibajavításon, azonnali intézkedésként javasolt az új felhasználói regisztráció letiltása (amennyiben ez lehetséges), valamint az internetes elérhetőség korlátozása: a szervereket érdemes VPN mögé rejteni. Szintén érdemes figyelni a hirtelen létrejött, véletlenszerű karakterekből álló nevű tárhelyeket, illetve a PutContents API gyanús használatát. A kutatók közzétették a kompromittálódás jeleit is, érdemes azok alapján ellenőrizni a saját rendszereket.
