Специалисты по кибербезопасности из Wiz Threat Research обнаружили активную эксплуатацию в реальных условиях новой уязвимости нулевого дня в популярном саморазмещаемом сервисе Git - Gogs. Уязвимость, получившая идентификатор CVE-2025-8110, позволяет аутентифицированным пользователям выполнять произвольный код на сервере. По состоянию на начало декабря 2025 года исправление для этой уязвимости все еще не выпущено, что делает тысячи инстансов уязвимыми для атак.
Описание
Исследование началось 10 июля 2025 года с расследования инфицирования вредоносным ПО на рабочей нагрузке одного из клиентов. Анализ показал, что компрометация произошла через публично доступный сервер Gogs. Изначально команда предположила, что злоумышленники использовали известную уязвимость CVE-2024-55947, однако версия Gogs на сервере уже должна была быть защищена от нее. Это привело к открытию нового, ранее неизвестного вектора атаки.
Уязвимость CVE-2025-8110 представляет собой обход исправления, выпущенного для CVE-2024-55947. Предыдущая проблема позволяла осуществлять путь обхода (path traversal) в API PutContents для записи файлов за пределами каталога репозитория Git. Разработчики исправили это, добавив проверку пути. Однако новая уязвимость использует символические ссылки (symlink), которые Git и, соответственно, Gogs разрешают использовать в репозиториях. Критический недостаток заключался в том, что API, проверяя путь к файлу, не проверял, является ли конечный файл символической ссылкой, ведущей за пределы репозитория.
Цепочка атаки проста и не требует высоких привилегий. Любой пользователь с правами на создание репозитория, которые часто включены по умолчанию, может скомпрометировать систему. Сначала злоумышленник создает репозиторий и добавляет в него символическую ссылку, указывающую на критически важный системный файл, например, ".git/config". Затем, используя уязвимый API PutContents, атакующий записывает данные по этой ссылке. Система, следуя по ссылке, перезаписывает целевой файл. Изменяя конфигурацию Git, можно заставить сервер выполнять произвольные команды, что приводит к удаленному выполнению кода (RCE, Remote Code Execution).
Проведя сканирование с помощью Shodan, исследователи обнаружили около 1400 публично доступных инстансов Gogs. Более чем на 700 из них были обнаружены явные признаки компрометации. Таким образом, скомпрометированными оказались свыше 50% проверенных публичных серверов. На всех зараженных системах наблюдалась одинаковая картина: репозитории со случайными именами из 8 символов, созданные в один временной промежуток. Это указывает на скоординированную автоматизированную кампанию одного злоумышленника или группы, использующей одинаковые инструменты.
Вредоносная нагрузка (payload), обнаруженная на скомпрометированных серверах, оказалась многослойной и хорошо обфусцированной. Изначально файл был упакован с помощью UPX. Под этим слоем исследователи обнаружили код, написанный на Go и скомпилированный с помощью инструмента обфускации garble, что затрудняет статический анализ. Использование утилиты ungarbler от Mandiant позволило извлечь строковые литералы и идентифицировать фреймворк, использованный для создания вредоносной программы.
Анализ показал, что злоумышленники применяли фреймворк Supershell. Это открытая платформа командования и управления (C2, Command and Control), основная функция которой - установка обратного SSH-соединения через веб-сервисы. Данный фреймворк не является широко распространенным, но ранее наблюдался в кампаниях, следующих за эксплуатацией уязвимостей начального доступа. Также исследователям удалось извлечь адрес C2-сервера атакующей группы: "119.45.176[.]196".
Хронология ответственного раскрытия информации демонстрирует серьезность ситуации. Wiz Research обнаружили первые признаки эксплуатации 10 июля 2025 года. Уязвимость была сообщена разработчикам Gogs 17 июля. Подтверждение от сопровождающих проекта поступило только 30 октября. При этом 1 ноября была зафиксирована вторая волна атак. На момент публикации отчета, 10 декабря, патч для уязвимости CVE-2025-8110 все еще не был выпущен в основной ветке разработки. Это оставляет множество систем под угрозой, особенно те, где включена открытая регистрация пользователей.
Gogs является популярным решением для самостоятельного размещения Git из-за своей легкости и простоты развертывания. Однако данная инциденция продолжает тревожную тенденцию, связанную с некорректной обработкой символических ссылок в этом проекте. Ранее аналогичные проблемы уже приводили к уязвимостям, таким как CVE-2024-56731 и CVE-2024-54148. Администраторам, использующим Gogs, настоятельно рекомендуется до выхода официального патча отключить открытую регистрацию, ограничить доступ к интерфейсу из интернета и регулярно проводить аудит созданных репозиториев на предмет подозрительной активности.
Индикаторы компрометации
IPv4
- 106.53.108.81
- 119.45.176.196
- 119.91.42.53
SHA1
- d8fcd57a71f9f6e55b063939dc7c1523660b7383
- efda81e1100ea977321d0f2eeb0dfa7a6b132abd
