Újabb biztonsági rés: 700 Gogs-szervert törtek fel világszerte

Kritikus sebezhetőség a PutContents API-ban

A támadók egy olyan biztonsági hibát használtak ki, amely az útvonalbejárási gyengeségből ered a PutContents API-ban. Ez lehetővé teszi, hogy a fenyegetést jelentő szereplők szimbolikus hivatkozásokat (symlinkeket) kihasználva tetszőleges fájlokat írjanak felül a tárolókon kívül. A gond az, hogy még a javított verziók sem ellenőrzik megfelelően, hová mutatnak a szimbolikus linkek.

Automatizált támadások tömeges kompromittálásra

A Wiz Research kutatói júliusban fedezték fel a hibát, miközben egy fertőzött Gogs szervert vizsgáltak. Több mint 1 400, az internetre kitett Gogs szervert találtak, amelyek közül legalább 700-at sikeresen feltörtek. A gyanús példányok mind ugyanabban az időszakban, júliusban jöttek létre, jellemzően véletlenszerű, nyolc karakteres tárolónevekkel, ami automatizált támadásra utal.

Könnyű célpontok és C2-kommunikáció

Sok szervert „nyitott regisztráció” (Open Registration) opcióval telepítettek, ami hatalmas támadási felületet eredményez. Az elemzés szerint a támadók a Supershell-lel, egy nyílt forráskódú parancs- és vezérlőkeretrendszerrel terjesztették a kártevőt, amely visszafelé SSH-kapcsolaton keresztül kommunikált egy távoli, 119.45.176[.]196-os szerverrel.

Javasolt lépések a védekezéshez

A kutatók ajánlása szerint érdemes azonnal letiltani a nyitott regisztrációt, és VPN-en vagy engedélyezési lista alkalmazásával korlátozni a hozzáférést. A kompromittált példányok gyanúja esetén keresni kell a PutContents API szokatlan használatát, illetve a véletlenszerű, nyolc karakteres nevű tárolókat.

2025, adrienne, www.bleepingcomputer.com alapján