Специалисты компании Wiz, занимающейся облачной безопасностью, в июле 2025 года случайно обнаружили активную эксплуатацию критической уязвимости нулевого дня в Gogs, популярном Git-сервисе с возможностью самостоятельного хостинга, написанном на языке Go. Исследователи наткнулись на эту проблему в ходе расследования заражения вредоносным ПО на машине одного из клиентов. На текущий момент уязвимость остается непропатченной, хотя исправление находится в разработке, что ставит под угрозу множество систем.
Обнаруженной бреши присвоен идентификатор CVE-2025-8110, а ее уровень опасности оценивается как высокий с баллом 8.7 по шкале CVSS. Это уязвимость типа перезаписи файлов и неправильной обработки символических ссылок, локализованная в API обновления файлов, конкретно в функции PutContents. Эксплуатация данного недостатка позволяет злоумышленникам выполнять код локально, что делает его критически опасным для инфраструктуры, использующей Gogs.
Новая уязвимость CVE-2025-8110 фактически является обходом исправления для предыдущей критической ошибки CVE-2024-55947, которая была устранена в декабре 2024 года. Та, более ранняя уязвимость, имела аналогичный балл CVSS 8.7 и позволяла удаленное выполнение кода (RCE), предоставляя атакующим возможность записывать файлы по произвольным путям и получать доступ через SSH. Злоумышленники адаптировали свои методы, чтобы обойти декабрьский патч и продолжить атаки.
Техническая механика эксплуатации строится на том, что Gogs разрешает символическим ссылкам в Git-репозиториях указывать на файлы и директории за пределами самого репозитория. API сервиса допускает модификацию файлов вне стандартного протокола Git. Вектор атаки направлен на манипуляцию файлом конфигурации git/config, в частности параметром sshCommand, что дает хакерам возможность выполнять произвольные команды на целевом сервере.
В качестве полезной нагрузки атакующие используют вредоносное ПО под названием Supershell. Это фреймворк командного управления (C2) с открытым исходным кодом, часто применяемый китайскими хакерскими группировками. Он позволяет установить обратную SSH-оболочку (reverse SSH shell). Связь с инфраструктурой злоумышленников осуществляется через сервер с IP-адресом 119.45.176[.]196.
Масштаб инцидента значителен: из приблизительно 1400 открытых экземпляров Gogs скомпрометировано уже более 700. Атака характеризуется стилем «smash-and-grab» (хватай и беги), что подразумевает небрежные действия операторов, оставляющих следы своего присутствия. К признакам компрометации (IOCs) относятся наличие репозиториев с 8-значными случайными именами владельцев или названий, созданных примерно 10 июля 2025 года. Исследователи предполагают, что за атаками стоит один субъект или группа, использующая идентичный инструментарий.
Расследованием инцидента с Gogs занимались исследователи Гили Тикочински (Gili Tikochinski) и Яара Шрики (Yaara Shriki) из компании Wiz. Учитывая отсутствие официального патча на данный момент, эксперты настоятельно рекомендуют администраторам отключить открытую регистрацию, ограничить доступ к экземплярам из интернета и просканировать системы на наличие подозрительных репозиториев со случайными 8-значными именами.
Параллельно с раскрытием данных о Gogs, исследователь Шира Аяль (Shira Ayal) из Wiz опубликовала предупреждение касательно утечек персональных токенов доступа GitHub (PAT). Эти токены представляют собой критически важные точки входа для первоначального доступа к облачным средам и межоблачного горизонтального перемещения, позволяя атакующим переходить от GitHub к плоскости управления поставщиков облачных услуг (CSP).
Метод атаки через PAT включает использование базовых прав на чтение для поиска секретов, встроенных в код YAML рабочих процессов, с помощью API поиска кода GitHub. Если токен имеет права на запись, злоумышленники создают вредоносные рабочие процессы. Эксфильтрация украденных секретов происходит путем их отправки на контролируемый хакерами вебхук (webhook endpoint), что позволяет обойти логирование действий (Action logs).
Изображение носит иллюстративный характер
Обнаруженной бреши присвоен идентификатор CVE-2025-8110, а ее уровень опасности оценивается как высокий с баллом 8.7 по шкале CVSS. Это уязвимость типа перезаписи файлов и неправильной обработки символических ссылок, локализованная в API обновления файлов, конкретно в функции PutContents. Эксплуатация данного недостатка позволяет злоумышленникам выполнять код локально, что делает его критически опасным для инфраструктуры, использующей Gogs.
Новая уязвимость CVE-2025-8110 фактически является обходом исправления для предыдущей критической ошибки CVE-2024-55947, которая была устранена в декабре 2024 года. Та, более ранняя уязвимость, имела аналогичный балл CVSS 8.7 и позволяла удаленное выполнение кода (RCE), предоставляя атакующим возможность записывать файлы по произвольным путям и получать доступ через SSH. Злоумышленники адаптировали свои методы, чтобы обойти декабрьский патч и продолжить атаки.
Техническая механика эксплуатации строится на том, что Gogs разрешает символическим ссылкам в Git-репозиториях указывать на файлы и директории за пределами самого репозитория. API сервиса допускает модификацию файлов вне стандартного протокола Git. Вектор атаки направлен на манипуляцию файлом конфигурации git/config, в частности параметром sshCommand, что дает хакерам возможность выполнять произвольные команды на целевом сервере.
В качестве полезной нагрузки атакующие используют вредоносное ПО под названием Supershell. Это фреймворк командного управления (C2) с открытым исходным кодом, часто применяемый китайскими хакерскими группировками. Он позволяет установить обратную SSH-оболочку (reverse SSH shell). Связь с инфраструктурой злоумышленников осуществляется через сервер с IP-адресом 119.45.176[.]196.
Масштаб инцидента значителен: из приблизительно 1400 открытых экземпляров Gogs скомпрометировано уже более 700. Атака характеризуется стилем «smash-and-grab» (хватай и беги), что подразумевает небрежные действия операторов, оставляющих следы своего присутствия. К признакам компрометации (IOCs) относятся наличие репозиториев с 8-значными случайными именами владельцев или названий, созданных примерно 10 июля 2025 года. Исследователи предполагают, что за атаками стоит один субъект или группа, использующая идентичный инструментарий.
Расследованием инцидента с Gogs занимались исследователи Гили Тикочински (Gili Tikochinski) и Яара Шрики (Yaara Shriki) из компании Wiz. Учитывая отсутствие официального патча на данный момент, эксперты настоятельно рекомендуют администраторам отключить открытую регистрацию, ограничить доступ к экземплярам из интернета и просканировать системы на наличие подозрительных репозиториев со случайными 8-значными именами.
Параллельно с раскрытием данных о Gogs, исследователь Шира Аяль (Shira Ayal) из Wiz опубликовала предупреждение касательно утечек персональных токенов доступа GitHub (PAT). Эти токены представляют собой критически важные точки входа для первоначального доступа к облачным средам и межоблачного горизонтального перемещения, позволяя атакующим переходить от GitHub к плоскости управления поставщиков облачных услуг (CSP).
Метод атаки через PAT включает использование базовых прав на чтение для поиска секретов, встроенных в код YAML рабочих процессов, с помощью API поиска кода GitHub. Если токен имеет права на запись, злоумышленники создают вредоносные рабочие процессы. Эксфильтрация украденных секретов происходит путем их отправки на контролируемый хакерами вебхук (webhook endpoint), что позволяет обойти логирование действий (Action logs).
