Nulladik napi támadások és elhúzódó reagálás
A hibát a Wiz Research szakemberei fedezték fel, miután az internetre kapcsolt egyik ügyfelük Gogs-szerverére kártevő került. A jelentést július 17-én nyújtották be, de a fejlesztők csak október 30-án ismerték el a problémát, és ezt követően kezdték tesztelni a javításokat, amelyek a szimbolikus linkek szűrését vezetik be. Közben novemberben már nulladik napi támadási hullámot észleltek, ahol a sebezhetőséget aktívan kihasználták. Több mint 1400 Gogs-szerver volt ekkor elérhető az interneten, és közülük mintegy 700-on már észleltek fertőzésre utaló jeleket.
Kormányzati válasz és óvintézkedések
Az amerikai kiberbiztonsági ügynökség most minden szövetségi kormányzati szervet arra utasított, hogy három héten belül, azaz február 2-ig frissítsék vagy zárják be a problémás rendszereket, különben azokat le kell állítani. Az érintett szervek közé tartoznak az Energiaügyi Minisztérium, az Igazságügyi Minisztérium, a Belbiztonsági Minisztérium és a Külügyminisztérium is.
Felhasználói tanácsok
Az ilyen típusú hibák jelentős kockázatot jelentenek, ezért a Gogs-felhasználóknak javasolt, hogy tiltsák le az alapértelmezett nyílt regisztrációt, korlátozzák a szerver elérését VPN-nel vagy engedélyezési listával, illetve ellenőrizzék az API-használatot és a gyanús nevű repozitóriumokat, amelyek a nulladik napi támadások során jöttek létre.
