CISA им наредува на федералните власти да ја поправат грешката на Gogs RCE искористена во нападите со zero-day

Американската Агенција за сајбербезбедност и безбедност на инфраструктурата (CISA) им нареди на владините агенции да ги заштитат своите системи од сериозна ранливост во Gogs, која беше искористена во zero-day напади.

Gogs, напишан на програмскиот јазик Go и дизајниран како алтернатива на GitLab или GitHub Enterprise, често е јавно изложен на интернет за потребите на далечинска соработка.

Ранливоста, евидентирана како CVE-2025-8110, овозможува извршување на далечински код (RCE) и произлегува од слабост тип path traversal во API-то PutContents. Таа им дозволува на автентицирани напаѓачи да ги заобиколат заштитите воведени со претходно закрпена RCE-ранливост (CVE-2024-55947) преку препишување датотеки надвор од репозиториумот со користење симболички врски.

Напаѓачите можат да ја злоупотребат оваа слабост со креирање репозиториуми што содржат симболички врски насочени кон чувствителни системски датотеки, а потоа да запишуваат податоци преку тие врски со помош на API-то PutContents, со што се препишуваат цели надвор од репозиториумот. Со препишување на Git конфигурациските датотеки, особено поставката sshCommand, заканувачите можат да ги натераат целните системи да извршуваат произволни команди.

Wiz Research ја откри ранливоста додека истражуваше инфекција со малициозен софтвер што зафатила Gogs сервер на клиент изложен на интернет во јули, и ја пријави слабоста до одржувачите на Gogs на 17 јули. Тие го признаа извештајот на Wiz три месеци подоцна, на 30 октомври, и минатата недела објавија закрпи за CVE-2025-8110 кои додаваат валидација на патеки свесна за симболички врски на сите точки за запишување датотеки.

Според временската линија за објавување споделена од Wiz Research, втор бран напади што ја таргетирале оваа ранливост како zero-day бил забележан на 1 ноември.

За време на истрагата на овие кампањи, истражувачите од Wiz пронашле над 1.400 Gogs сервери изложени на интернет (од кои 1.250 сè уште се изложени) и повеќе од 700 инстанци што покажуваат знаци на компромитација.

CISA сега го потврди извештајот на Wiz и ја додаде безбедносната ранливост на својата листа на ранливости што активно се злоупотребуваат „во дивина“, наредувајќи им на агенциите од Федералната цивилна извршна власт (FCEB) да ја закрпат во рок од три недели, односно најдоцна до 2 февруари 2026 година.

FCEB агенциите се немилитарни агенции на извршната власт на САД, како што се Министерството за енергетика, Министерството за правда, Министерството за внатрешна безбедност и Стејт департментот.

„Овој тип на ранливост е чест вектор на напади за малициозни сајбер-актери и претставува значителен ризик за федералниот систем“, предупреди CISA. „Применете ги мерките за ублажување според упатствата на добавувачот, следете ги применливите насоки од BOD 22-01 за cloud-услуги или прекинете со користење на производот доколку мерките за заштита не се достапни.“

За дополнително намалување на површината за напад, на корисниците на Gogs им се препорачува веднаш да ја оневозможат стандардната поставка за отворена регистрација и да го ограничат пристапот до серверот со користење VPN или листа на дозволени IP-адреси.

Дополнително, администраторите кои сакаат да проверат дали нивната Gogs инстанца е компромитирана треба да внимаваат на сомнителна употреба на API-то PutContents, како и на репозиториуми со случајни имиња од осум карактери создадени за време на двата бранa напади.

Извори:

• Bleeping Computer – CISA orders feds to patch Gogs RCE flaw exploited in zero-day attacks Bleeping Computer