Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Gogs Sotto Attacco: Vulnerabilità Critica Espone 700 Server a Malware SSH
Una grave vulnerabilità di sicurezza non ancora corretta è stata recentemente scoperta nella piattaforma Gogs, un servizio Git self-hosted scritto in Go, che sta subendo attacchi attivi con oltre 700 istanze compromesse esposte su internet. Questa vulnerabilità, identificata come CVE-2025-8110 e con un punteggio CVSS di 8.7, riguarda una problematica di file overwrite nell’API di aggiornamento dei file di Gogs.
La comunità di sviluppo sta lavorando a una patch, ma al momento il bug risulta ancora sfruttabile e senza soluzione.
Descrizione della vulnerabilità
Il bug CVE-2025-8110 permette, tramite una gestione impropria dei collegamenti simbolici nella funzione PutContents, di eseguire codice localmente. Questo difetto si rivela essere un bypass per una precedente vulnerabilità di esecuzione di codice remoto (CVE-2024-55947), già corretta nel dicembre 2024, che consentiva a un attaccante di scrivere file arbitrari sul server e ottenere accesso SSH.
Meccanismo di attacco
L’elemento chiave dello sfruttamento consiste nel fatto che Git e quindi anche Gogs permettono ai repository di contenere collegamenti simbolici che possono puntare a file o directory fuori dalla directory del repository stesso. La falla viene sfruttata in quattro passaggi principali:
- Creazione di un repository standard
- Commit di un symlink verso un obiettivo sensibile
- Utilizzo dell’API PutContents per scrivere dati attraverso il symlink (sovrascrivendo file esterni)
- Modifica del file ".git/config" per eseguire comandi arbitrari tramite il parametro sshCommand
Attività malevole e malware coinvolto
Il malware individuato in queste campagne malevole si basa su Supershell, un framework open-source di command-and-control spesso utilizzato da gruppi di hacker cinesi. Supershell permette la creazione di una reverse shell SSH verso server controllati dagli aggressori.
Impatto e diffusione
Sono state osservate circa 1.400 istanze Gogs esposte pubblicamente, con oltre la metà compromesse e la presenza di repository con nomi casuali di 8 caratteri, tutti creati intorno al 10 luglio 2025. Gli indicatori suggeriscono che un singolo attore o un gruppo con strumenti comuni sia responsabile di tutte le infezioni. Gli attaccanti non hanno neanche tentato di cancellare o rendere privati i repository creati durante l’infezione, evidenziando un approccio rapido e poco sofisticato.
Raccomandazioni
In assenza di una patch, è fortemente consigliato agli amministratori di Gogs di disabilitare la registrazione aperta, limitare l’esposizione su internet e controllare la presenza di repository dai nomi sospetti. Inoltre, la ricerca sottolinea come i token di accesso personale GitHub (PAT) compromessi possano essere usati per eseguire movimenti laterali tra ambienti cloud, esfiltrare segreti e lanciare workflow malevoli, aumentando ulteriormente il rischio di compromissione.