Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Açık Kaynak Gogs Hizmetindeki Yamasız Kusur, Uzaktan Kod Yürütmeyi Kolaylaştırıyor
Mathew J. Schwartz (euroinfosec) •
11 Aralık 2025
Araştırmacılar, bir saldırganın finansal güdümlü saldırıların bir parçası olarak popüler, kendi kendine barındırılan Git hizmetindeki sıfır gün kusurundan yararlandığı konusunda uyardı.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Henüz yama yapılmamış olan güvenlik açığı, Go’da yazılmış, kendi kendine barındırılan bir Git hizmeti olan Gogs’un en son sürümünde mevcut ve siber güvenlik firması Wiz’deki araştırmacılar tarafından keşfedildi. Pek çok kuruluş, Git depolarını GitHub gibi bir hizmet yerine şirket içinde veya bulutta kendi kendine barındırmak için Gogs’u kullanıyor ve dağıtılmış ekiplerin kullanımını desteklemek için bunu internete sunuyor.
Wiz araştırmacıları, Shodan arama motoru tarafından kataloglanan 1.500 internete açık Gogs örneğinden en az 700’ünün, artık CVE-2025-8110 olarak izlenen sıfır gün güvenlik açığı kullanılarak istismar edildiğine dair işaretler gösterdiğini söyledi. Kusur, Gogs’un 9 Haziran’da yayınlanan en son sürümünde mevcut.
Bulgularını Çarşamba günü Londra’daki Black Hat Europe konferansında bir brifingde sunan iki Wiz araştırmacısı, yeni güvenlik açığı ve Gogs’un hedef olduğu hakkındaki bilgilerin “bu sunum başlamadan beş saniye önce” yayınlandığını söyledi.
Araştırmacılar, kusurdan yararlanmanın, saldırganlara sunucunun tam kontrolünü ele geçirme, potansiyel olarak tüm Git kod depolarını çalma ve sunucuyu bir kripto madenci olarak hizmete sokma yeteneği verdiğini söyledi.
Kusuru, 15 Temmuz’da bir müşterinin sunucusuna takılan ve kötü amaçlı yazılım bulaştığını ortaya çıkaran bir Yara kuralını araştırdıktan sonra keşfettiler. Ancak Wiz’de kötü amaçlı yazılım araştırmacısı Gili Tikochinski, kötü amaçlı yazılımın bulaşmasından önce ortaya çıkmış olabilecek herhangi bir görünür, yaygın olarak kullanılan saldırı vektörünü, sistemdeki sorunu veya bilinen bir güvenlik açığından yararlanıldığını hemen tespit edemediğini söyledi.
Tikochinski, bulut ortamlarında uzmanlaşan meslektaşı Yaara Shriki ile iletişime geçti. Daha ileri araştırmalar, Gogs’a kadar takip edilen ve daha önce adını hiç duymadıkları, açıkta kalan bir web API’sini ortaya çıkardı. Saldırıya uğrayan sunucuyu incelerken “ilginç bir dosya gördüler – bir sembolik bağlantı .git/configÇarşamba günü yayınladıkları bir raporda, “sembolik bağlantının genellikle kötü şeylerin olduğu anlamına gelmesi nedeniyle” ilgilerini artırdığı belirtiliyor.
Daha sonra internete açık 1.500 Gogs sunucusundan birkaçını araştırdılar ve bazılarının, müşterilerinin sunucusundaki enfeksiyonla eşleşen alışılmadık bir model sergilediğini buldular. Her biri alışılmadık bir Git deposu sahibi ve depo adı içeriyordu; her ikisi de sekiz alfasayısal karakter uzunluğundaydı ve görünüşe göre rastgele karakterler kullanılarak otomatik olarak oluşturulmuştu ve hepsi kısa bir zaman diliminde oluşturulmuştu.
Shriki, “Elbette bu kesin modeli arayan kısa bir Python betiği yazdık” dedi. “Bunu çalıştırdık ve aynı saldırgan tarafından etkilenmiş 700’den fazla sunucu bulduk çünkü aynı modelin tekrarlandığını gördük.” Buldukları en eski sunucunun tarihi 10 Temmuz’du.
Black Hat Avrupa brifinginde Shriki, araştırmalarından elde edilen en büyük çıkarımlardan birinin “yeterince benzersiz görünen herhangi bir modelin, uzlaşmanın davranışsal bir göstergesi olarak kullanılabileceği” olduğunu söyledi.
Araştırmacılar, virüs bulaşan her sunucuda aynı komut ve kontrole işaret eden kötü amaçlı yazılım bulunduğunu, komutları yürütmek için aynı SSH komutlarının kullanıldığını ve ayrıca saldırganın bıraktığı tüm kötü amaçlı yazılımların aynı dosya karmasına sahip olduğunu buldu.
Her durumda, saldırgan, bir sunucuya erişim sağladıktan sonra, virüslü bir sisteme ters SSH kabuğu yüklemek için tasarlanmış açık kaynaklı, Python tabanlı bir komuta ve kontrol çerçevesi olan SuperShell’in bir sürümünü konuşlandırdı.
Araştırmacılar, saldırganın diğer 700 virüslü sunucuya başka ne yapmış olabileceğine dair hiçbir fikre sahip olmasa da (yalnızca müşterileri için olanı yakından analiz ettiler) saldırganın davranışına dayanarak, çok fırsatçı, mali motivasyona sahip bir saldırgana baktıklarından şüphelendiler; belki de fidye yazılımını serbest bırakmanın veya kripto madenciliğine girişmenin bir başlangıcı olarak.
Shriki, “Kendilerini saklamaya çalışmadıkları için muhtemelen bir ulus devlet aktörü değiller” dedi. “Çok agresifler, gizli olmaya çalışmıyorlar, izlerini gizlemeye çalışmıyorlar. Depoları oluşturduktan sonra silebilirlerdi ama silmediler” dedi.
Daha ayrıntılı bir incelemenin ardından araştırmacılar, saldırının önceki iki hafifletici etkeni atladığını buldu: PutContents API’sinde CVE-2024-55947 ve CVE-2024-54148 olarak takip edilen ve saldırganın sembolik bağlantının işaret ettiği gerçek dosyayı düzenlemek için kullanabileceği sembolik bir bağlantının düzenlenmesine izin veren bir yol geçiş kusuru.
Shriki, “PutContents API’si yol geçişi için düzeltildi, ancak sembolik bağlantıların düzenlenmesini engellemek hiçbir zaman düzeltilmedi” dedi ve böylece yeni CVE’leri ortaya çıktı.
Araştırmacılar, 17 Temmuz’da Gog geliştiricilerine bir güvenlik açığı raporu gönderdiler ve 30 Ekim’de bir onay aldıklarını söylediler.
Açık kaynak projesinin ana geliştiricisi Jiahua Chen, diğer adıyla Unknwon, kullanıcılara bir yama veya güvenlik uyarısının ne zaman yayınlanabileceğine ilişkin yorum talebine hemen yanıt vermedi. Araştırmacılar raporlarında “Şu anda bir düzeltme üzerinde çalışıyorlar, ancak aktif sömürü vahşi doğada devam ediyor” dedi.
Yazılımın yeni bir sürümü çıkar çıkmaz güncelleme yapılmasını öneren yetkililer, güvenlik açığını hedef alan ikinci saldırı dalgasının 1 Kasım’da başladığını belirtiyor.
Güncellemenin ötesinde, iki azaltım daha öneriyorlar: Varsayılan olarak etkin olan Gogs’ta “açık kaydı” devre dışı bırakın ve uzaktaki bir saldırganın erişim kazanmasını zorlaştırmak için şirket içinde barındırılan Git sunucularına harici erişimi sınırlandırın.
Araştırmacılar, olaydan elde edilen önemli çıkarımlardan birinin, güvenlik anormalliklerinin temel nedenlerini bulma ihtiyacı olduğunu söyledi. Tikochinski, “Bunun öğrenilmesi gereken çok önemli bir ders olduğuna inanıyoruz: Bu vakaların çoğunda sadece düzeltip unutamazsınız. Kötü bir şeyin neden olduğunu, temel nedeninin ne olduğunu ve onu neyin önleyeceğini gerçekten bilmeniz gerekir, sadece yama yapıp devam etmek değil,” dedi Tikochinski.