Kritikus sebezhetőség a PutContents API-ban
A támadók egy olyan biztonsági hibát használtak ki, amely az útvonalbejárási gyengeségből ered a PutContents API-ban. Ez lehetővé teszi, hogy a fenyegetést jelentő szereplők szimbolikus hivatkozásokat (symlinkeket) kihasználva tetszőleges fájlokat írjanak felül a tárolókon kívül. A gond az, hogy még a javított verziók sem ellenőrzik megfelelően, hová mutatnak a szimbolikus linkek.
Automatizált támadások tömeges kompromittálásra
A Wiz Research kutatói júliusban fedezték fel a hibát, miközben egy fertőzött Gogs szervert vizsgáltak. Több mint 1 400, az internetre kitett Gogs szervert találtak, amelyek közül legalább 700-at sikeresen feltörtek. A gyanús példányok mind ugyanabban az időszakban, júliusban jöttek létre, jellemzően véletlenszerű, nyolc karakteres tárolónevekkel, ami automatizált támadásra utal.
Könnyű célpontok és C2-kommunikáció
Sok szervert „nyitott regisztráció” (Open Registration) opcióval telepítettek, ami hatalmas támadási felületet eredményez. Az elemzés szerint a támadók a Supershell-lel, egy nyílt forráskódú parancs- és vezérlőkeretrendszerrel terjesztették a kártevőt, amely visszafelé SSH-kapcsolaton keresztül kommunikált egy távoli, 119.45.176[.]196-os szerverrel.
Javasolt lépések a védekezéshez
A kutatók ajánlása szerint érdemes azonnal letiltani a nyitott regisztrációt, és VPN-en vagy engedélyezési lista alkalmazásával korlátozni a hozzáférést. A kompromittált példányok gyanúja esetén keresni kell a PutContents API szokatlan használatát, illetve a véletlenszerű, nyolc karakteres nevű tárolókat.
