Yaygın olarak kullanılan, kendi kendine barındırılan bir Git hizmeti olan Gogs’taki kritik bir sıfır gün güvenlik açığı şu anda vahşi ortamda istismar ediliyor. CVE-2025-8110 olarak tanımlanan bu kusur, kimliği doğrulanmış kullanıcıların bir sembolik bağlantı bypassı gerçekleştirmesine olanak tanıyarak Uzaktan Kod Yürütülmesine (RCE) yol açar.
Bu yazının yazıldığı an itibarıyla herhangi bir yama mevcut değil ve araştırmacılar, halka açık Gogs örneklerinin %50’sinden fazlasının zaten ele geçirildiğini tahmin ediyor.
Keşif, 10 Temmuz 2025’te müşterinin iş yüküne kötü amaçlı yazılım bulaşmasına ilişkin rutin bir araştırma sırasında başladı. Wiz analistleri giriş noktasını güvenli bir sürüm (0.13.2) çalıştıran bir Gogs örneğine kadar takip etti.
Daha ayrıntılı analizler, tehdit aktörlerinin CVE-2024-55947 için uygulanan korumaları atlamak amacıyla Gogs API’sindeki bir gerilemeden yararlandığını ortaya çıkardı.
Temel sorun, Gogs’un API aracılığıyla dosya değişikliklerini nasıl ele aldığında yatmaktadır. Bakımcılar daha önce giriş yollarını doğrulayarak bir yol geçiş kusurunu yamalamış olsalar da, sembolik bağlantıları (sembolik bağlantılar) hesaba katmakta başarısız oldular. Standart Git protokollerine bağlı kalan Gogs, kullanıcıların sembolik bağlantılar oluşturmasına olanak tanır.
Saldırganlar, bir depo oluşturarak, deponun dışındaki hassas bir dosyaya (sistem yapılandırma dosyaları gibi) işaret eden bir sembolik bağlantı oluşturarak ve ardından İçerikleri Koy Bu bağlantıya veri yazmak için API.
API, dosya yolu adını doğrular ancak sembolik bağlantının hedefini doğrulamaz. Bu, saldırganın ana sistemdeki dosyaların üzerine yazmasına olanak tanır. .git/configkötü amaçlı komutlar enjekte ederek sshKomutu RCE’ye ulaşmak için parametre.
Kullanım, depo oluşturma ayrıcalıklarına sahip bir hesap gerektirir. Birçok Gogs örneği varsayılan olarak “Açık Kayıt” olarak ayarlandığından, saldırı yüzeyi çok büyüktür. Wiz, halka açık yaklaşık 1.400 Gogs örneği tespit etti ve bunların 700’den fazlası uzlaşma işaretlerini doğruladı.
Saldırılar, otomatik “parçala ve yakala” yaklaşımını kullanan tek bir aktörün veya grubun işi gibi görünüyor. Virüs bulaşan tüm örneklerde, 10 Temmuz civarındaki dar bir zaman diliminde oluşturulan, rastgele 8 karakterli adlara sahip depolar bulunuyordu.
Teslim edilen yük, Go’da yazılmış açık kaynaklı bir Komuta ve Kontrol (C2) çerçevesi olan Supershell’dir.
Kötü amaçlı yazılım büyük ölçüde gizlendi UPX ambalajı ve çarpıtmak Dize değişmezlerini şifreleyen ve rastgele hale getiren araç Tersine mühendisliği karmaşıklaştıran sınıf adları. Supershell, web hizmetleri aracılığıyla ters bir SSH kabuğu oluşturarak saldırgana kalıcı uzaktan erişim sağlar.
Güvenlik Açığı Özeti ve IoC’ler
| Özellik | Detaylar |
|---|---|
| Sıfır Gün CVE | CVE-2025-8110 (Sembolik Bağlantı Atlaması) |
| İlgili CVE | CVE-2024-55947 (Orijinal RCE) |
| Etkilenen Yazılım | Gogs (Kendi Kendine Barındırılan Git Hizmeti) |
| Etkilenen Sürümler | v0.13.3 ve öncesi |
| Durum | Yamasız (Aktif Suistimal) |
| C2 IP Adresi | 119.45.176[.]196, 106.53.108[.]81, 119.91.42[.]53 |
Wiz’in 17 Temmuz 2025’teki sorumlu açıklamasına ve bakımcıların Ekim ayındaki kabulüne rağmen, güvenlik açığı ana dalda düzeltilmedi.
Gogs’u çalıştıran yöneticilerin, örneklerinin açık kayıtla internete açık olması durumunda uzlaşmayı üstlenmeleri tavsiye edilir.
Etki azaltma adımları arasında, yetkisiz hesap oluşturulmasını önlemek için “Açık Kayıt”ın devre dışı bırakılması ve VPN veya IP izin verilenler listeleri yoluyla hizmete erişimin kısıtlanması yer alır. Güvenlik ekipleri beklenmedik depoları veya anormal kullanımları taramalıdır. İçerikleri Koy API’dir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
