Güvenlik araştırmacıları, yaygın olarak kullanılan, kendi kendine barındırılan bir Git hizmeti olan Gogs’ta aktif bir sıfır gün güvenlik açığı tespit etti.
Bu kusur halihazırda internette halka açık 700’den fazla sunucunun ele geçirilmesiyle sonuçlanmıştır.
Aralık 2025’in başı itibarıyla bu tehdidi azaltacak resmi bir yama mevcut olmadığından binlerce örnek uzaktan saldırılara karşı savunmasız kalıyor.
Symlink Atlama Güvenlik Açığı
CVE-2025-8110 olarak takip edilen güvenlik açığı, daha önce yamalı olan CVE-2024-55947 sorununun atlanmasına olanak tanıyor.
| CVE Kimliği | Tanım | Şiddet | Durum |
|---|---|---|---|
| CVE-2025-8110 | Symlink bypass, dosyanın repo dışında üzerine yazılmasına izin veriyor | Kritik | Etkin / Düzeltme eki uygulanmamış |
| CVE-2024-55947 | Argüman ekleme yoluyla önceki RCE | Kritik | Yamalı |
Orijinal kusur, yol geçişine izin veriyordu; bakımcılar, dosya yollarında daha sıkı giriş doğrulaması uygulayarak bunu düzeltmeye çalıştı.
Ancak bu yeni sıfır gün, sembolik bağlantıların hedefinin doğrulanmasındaki başarısızlıktan yararlanıyor.
Wiz’e göre, depo oluşturma izinlerine sahip saldırganlar, deponun dışındaki bir konuma işaret eden sembolik bir bağlantı yükleyerek bu zayıflıktan yararlanabilir.
Bu sembolik bağlantıya veri yazmak için API’yi kullanarak hassas sistem dosyalarının üzerine yazabilirler.
Gözlemlenen saldırılarda, tehdit aktörleri sistemi rastgele komutlar yürütmeye zorlamak için SSH yapılandırma dosyalarının üzerine yazıyor ve bu da tam Uzaktan Kod Yürütme (RCE) ile sonuçlanıyor.
Devam eden kampanya oldukça otomatiktir. Güvenliği ihlal edilen sunucular, kısa bir zaman dilimi içinde oluşturulan rastgele 8 karakterli adlara sahip depolar da dahil olmak üzere belirli yapılar sergiler.
Araştırma, araştırmacılar tarafından gözlemlenen, halka açık Gogs örneklerinin yaklaşık %50’sinin enfeksiyon belirtileri gösterdiğini ortaya çıkardı.
Tehdit aktörleri, ters SSH kabukları oluşturmak için kullanılan açık kaynaklı bir araç olan Supershell çerçevesini kullanıyor.
Bu veri, saldırganların kalıcılığını korumasına ve ele geçirilen sunucuları bir Komuta ve Kontrol (C2) sunucusu aracılığıyla uzaktan kontrol etmesine olanak tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.