Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Напаѓачите со месеци ја злоупотребувале zero-day ранливоста во Gogs

Објавено: 12.12.2025

Wiz откри уште непоправена ранливост во самостојно хостираниот Git-сервис Gogs, која претставува заобиколување на претходен RCE-баг откриен минатата година.

Ранливост во самостојно хостираниот Git-сервис Gogs се соочува со масовна злоупотреба, а моментално не постои закрпа.

Според Wiz, кои на 10 декември објавија истражување во кое ја открија ранливоста CVE-2025-8110, оваа ранливост овозможува заобиколување на веќе познатата ранливост за извршување на далечински код (RCE), откриена минатата година (CVE-2024-55947). Иако претходниот баг беше закрпен, новиот пропуст им овозможува на заканувачите да извршуваат код во ранливи околини поради безбедносна празнина во оригиналната поправка.

Gogs е популарен софтвер со отворен код поради неговите минимални барања и леснотија на користење. Присутен е во илјадници on-premises и cloud околини, а уште позагрижувачко за ваков тип ранливост е тоа што „често е изложен на интернет за да овозможи далечинска колаборација“, велат истражувачите од Wiz, Гили Тикочински и Јаара Шрики.

Како функционира CVE-2025-8110

Како што објаснуваат Тикочински и Шрики, претходниот баг CVE-2024-55947 „ја злоупотребуваше ранливоста за пат-траверсал во PutContents API“.

„Тоа му овозможуваше на напаѓачот да запише датотеки надвор од директориумот на Git-репозиториумот, со што добиваше можност да презапише чувствителни системски или конфигурациски датотеки за да постигне извршување на код,“ напишаа тие во блогот. „Мејнтејнерите го адресираа ова со додавање проверка на внесот за параметарот path.“

Проблемот со поправката, објаснуваат истражувачите, е што не ги земала предвид симболичките линкови, поточно злоупотребата на симболички линкови.

„Gogs API овозможува модификација на датотеки надвор од редовниот Git протокол, и иако сега ги валидира имињата на патеки, не ја валидира дестинацијата на симболичкиот линк. Бидејќи Gogs го почитува стандардното Git однесување, им дозволува на корисниците да комитираат симболички линкови во репозиториуми,“ пишуваат Тикочински и Шрики.
„Ранливоста настанува затоа што API-то пишува во патеката на датотеката без да провери дали целната датотека е всушност симболички линк кој води надвор од репото. Ова практично ја прави претходната проверка на патеката бескорисна кога е вклучен симболички линк.“

Крајниот напад за оваа нова ранливост е едноставен:
нападјачот создава стандардно Git-репо, користи симболички линк за да презапише чувствителна таргет-датотека, и потоа може да извршува произволни команди.

Wiz го забележал првиот индикатор за злоупотреба на 10 јули, по што експлоатацијата прераснала во она што истражувачите го опишуваат како „автоматизирана, smash-and-grab стил“ малвер кампања, веројатно управувана од еден заканувач.

Иако не е јасно кој стои зад нападите, Wiz детектирале Supershell на инфициран систем — open-source command-and-control рамка што претходно ја користеле актери поврзани со Кина.

Преку пребарување на Shodan, Wiz откриле 1.400 изложени инстанци, од кои повеќе од 700 биле компромитирани — стапка на пробивање над 50%.

„Сите инфицирани инстанци го делеа истиот шаблон: осумзнакови случајни имиња за owner/repo, креирани во ист краток временски период (10 јули). Ова сугерира дека еден актер, или група актери со иста алатка, се одговорни за сите инфекции,“ објави Wiz.

CVE-2025-8110 – Временска линија и мерки за ублажување

На 17 јули, Wiz ја пријавил ранливоста кај одржувачите на Gogs, кои ја потврдиле приемната порака повеќе од три месеци подоцна, на 30 октомври.

Во е-пошта, портпарол на Wiz Research ѝ кажал на Dark Reading дека компанијата ја пријавила ранливоста во Gogs во рок од два дена откако потврдила активна злоупотреба, следејќи ги принципите за одговорно објавување.

„Размислувавме да ја објавиме порано, но на крајот решивме да почекаме во надеж за координирано решавање,“ велат од Wiz Research. „Кога ранливоста остана незакрпена и повторно забележавме експлоатација на терен, одлучивме да ги објавиме нашите наоди за да им помогнеме на другите да ги заштитат своите околини.“

Втор бран напади беше детектиран на 1 ноември, и до моментот на објавување на блогот, CVE-2025-8110 сè уште не е закрпен. Wiz вели дека Gogs инстанците кои се на или под верзија 0.13.3 и имаат вклучена отворена регистрација (стандардната поставка) се ранливи на CVE-2025-8110. На ранливите организации им се советува веднаш да ја оневозможат отворената регистрација ако не е потребна, да го ограничат интернет-експонирањето (на пример, поставување на инстанците зад VPN или користење allow-list) и да проверат за создавање на репозиториуми со случајни имиња од 8 карактери или неочекувана употреба на PutContents API (карактеристични знаци на можно инфицирање).

Извори:

Dark Reading– Attackers Exploited Gogs Zero-Day Flaw for Months Dark Reading