Gogs Sotto Attacco: Vulnerabilità Critica Espone 700 Server a Malware SSH

News
Visite: 178

Una grave vulnerabilità di sicurezza non ancora corretta è stata recentemente scoperta nella piattaforma Gogs, un servizio Git self-hosted scritto in Go, che sta subendo attacchi attivi con oltre 700 istanze compromesse esposte su internet. Questa vulnerabilità, identificata come CVE-2025-8110 e con un punteggio CVSS di 8.7, riguarda una problematica di file overwrite nell’API di aggiornamento dei file di Gogs. La comunità di sviluppo sta lavorando a una patch, ma al momento il bug risulta ancora sfruttabile e senza soluzione.

Descrizione della vulnerabilità

Il bug CVE-2025-8110 permette, tramite una gestione impropria dei collegamenti simbolici nella funzione PutContents, di eseguire codice localmente. Questo difetto si rivela essere un bypass per una precedente vulnerabilità di esecuzione di codice remoto (CVE-2024-55947), già corretta nel dicembre 2024, che consentiva a un attaccante di scrivere file arbitrari sul server e ottenere accesso SSH.

Meccanismo di attacco

L’elemento chiave dello sfruttamento consiste nel fatto che Git e quindi anche Gogs permettono ai repository di contenere collegamenti simbolici che possono puntare a file o directory fuori dalla directory del repository stesso. La falla viene sfruttata in quattro passaggi principali:

  • Creazione di un repository standard
  • Commit di un symlink verso un obiettivo sensibile
  • Utilizzo dell’API PutContents per scrivere dati attraverso il symlink (sovrascrivendo file esterni)
  • Modifica del file ".git/config" per eseguire comandi arbitrari tramite il parametro sshCommand
Attività malevole e malware coinvolto

Il malware individuato in queste campagne malevole si basa su Supershell, un framework open-source di command-and-control spesso utilizzato da gruppi di hacker cinesi. Supershell permette la creazione di una reverse shell SSH verso server controllati dagli aggressori.

Impatto e diffusione

Sono state osservate circa 1.400 istanze Gogs esposte pubblicamente, con oltre la metà compromesse e la presenza di repository con nomi casuali di 8 caratteri, tutti creati intorno al 10 luglio 2025. Gli indicatori suggeriscono che un singolo attore o un gruppo con strumenti comuni sia responsabile di tutte le infezioni. Gli attaccanti non hanno neanche tentato di cancellare o rendere privati i repository creati durante l’infezione, evidenziando un approccio rapido e poco sofisticato.

Raccomandazioni

In assenza di una patch, è fortemente consigliato agli amministratori di Gogs di disabilitare la registrazione aperta, limitare l’esposizione su internet e controllare la presenza di repository dai nomi sospetti. Inoltre, la ricerca sottolinea come i token di accesso personale GitHub (PAT) compromessi possano essere usati per eseguire movimenti laterali tra ambienti cloud, esfiltrare segreti e lanciare workflow malevoli, aumentando ulteriormente il rischio di compromissione.

Pin It
, ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.