Una nueva investigación de Wiz revela que Gogs está explotando activamente vulnerabilidades de seguridad de alta gravedad sin parches, con más de 700 instancias comprometidas accesibles a través de Internet.
Esta falla, identificada como CVE-2025-8110 (puntuación CVSS: 8,7), es un caso de sobrescritura de archivos en la API de actualización de archivos de un servicio Git autohospedado basado en Go. Se dice que actualmente se está trabajando en una solución para este problema. La compañía dijo que descubrió la falla de día cero por casualidad en julio de 2025 mientras investigaba una infección de malware en la máquina de un cliente.
Según la descripción de la vulnerabilidad en CVE.org, «el manejo inadecuado de enlaces simbólicos en la API PutContents de Gogs podría provocar la ejecución de código local».
Según la empresa de seguridad en la nube, CVE-2025-8110 es una solución a una falla de ejecución remota de código previamente parcheada (CVE-2024-55947, puntuación CVSS: 8,7) que permite a un atacante escribir archivos en rutas arbitrarias en el servidor y obtener acceso SSH al servidor. Painter abordó CVE-2024-55947 en diciembre de 2024.
Wiz dijo que la solución introducida por Gogs para resolver CVE-2024-55947 podría evitarse aprovechando el hecho de que Git (y por lo tanto Gogs) permite el uso de enlaces simbólicos dentro de los repositorios de git, y que esos enlaces simbólicos pueden apuntar a archivos y directorios fuera del repositorio. Además, la API de Gogs le permite modificar archivos fuera del protocolo Git normal.
Como resultado, un atacante podría aprovechar esta falta de consideración de los enlaces simbólicos para ejecutar código arbitrario mediante un proceso de cuatro pasos.
Cree un repositorio git estándar. Confirme un único enlace simbólico que apunte a un objetivo confidencial. Escriba datos en un enlace simbólico utilizando la API PutContents para que el sistema siga el enlace y sobrescriba el archivo de destino fuera del repositorio. Sobrescriba «.git/config» (especialmente sshCommand) para ejecutar comandos arbitrarios.
Se evalúa que el malware implementado en esta campaña tiene una carga útil basada en Supershell, un marco de comando y control (C2) de código abierto comúnmente utilizado por grupos de hackers chinos, y es capaz de establecer un shell SSH inverso en un servidor controlado por un atacante en 119.45.176(.)196.
Según Wiz, los atacantes detrás del exploit CVE-2025-8110 dejaron repositorios creados en las cargas de trabajo en la nube de los clientes (por ejemplo, «IV79VAew/Km4zoh4s») a pesar de que podrían haber tomado medidas para eliminarlos o marcarlos como privados después de la infección. Añadió que este descuido era indicativo de una campaña de estilo «golpe y agarre».
Hay aproximadamente 1.400 instancias de Gogs expuestas en total, y más de 700 de ellas muestran signos de compromiso, específicamente la presencia de nombres aleatorios de propietario/repositorio de 8 caracteres. Todos los repositorios identificados se crearon alrededor del 10 de julio de 2025.
«Esto sugiere que un solo atacante, o un grupo de atacantes que utilizan la misma herramienta, es responsable de todas las infecciones», dijeron los investigadores Gili Tikocinsky y Yaara Shuriki.
Dado que esta vulnerabilidad no se ha solucionado, es importante que los usuarios desactiven el registro abierto, limiten la exposición a Internet y busquen instancias de repositorios con nombres aleatorios de 8 caracteres.
Esta divulgación se produce cuando Wiz advirtió que los actores de amenazas están apuntando a los tokens de acceso personal (PAT) de GitHub comprometidos como un costoso punto de entrada para obtener acceso inicial al entorno de nube de una víctima, así como para el movimiento lateral entre nubes desde GitHub hasta el plano de control del proveedor de servicios de nube (CSP).
El problema actual es que un atacante con permisos básicos de lectura a través de PAT puede usar la búsqueda de código API de GitHub para descubrir nombres secretos incrustados directamente en el código YAML del flujo de trabajo. Para complicar aún más las cosas, si la PAT explotada tiene permisos de escritura, un atacante podría ejecutar código malicioso y eliminar cualquier rastro de actividad maliciosa.
«Los atacantes aprovecharon el PAT comprometido para descubrir los nombres de GitHub Action Secrets en el código base y los utilizaron en flujos de trabajo maliciosos recién creados para ejecutar código y obtener secretos de CSP», dijo la investigadora Shira Ayal. «También se ha observado que los actores de amenazas eluden por completo los registros de acciones y filtran secretos a los puntos finales de webhook que controlan».
Source link
