Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Hackers exploit unpatched Gogs zero-day to breach 700 servers

1 minute de lecture

Mis à jour :

Exploitation d’une faille Gogs pour le piratage de serveurs

Une vulnérabilité critique dans le logiciel Gogs, un service Git auto-hébergé populaire, a permis à des attaquants de prendre le contrôle à distance de centaines de serveurs. Cette faille, identifiée comme CVE-2025-8110, exploite une faiblesse dans l’API PutContents, permettant aux pirates de contourner les protections antérieures en utilisant des liens symboliques pour écraser des fichiers sensibles en dehors des dépôts prévus.

En manipulant notamment le paramètre sshCommand dans les fichiers de configuration Git, les attaquants peuvent forcer l’exécution de commandes arbitraires sur les systèmes ciblés. Cette campagne semble être menée par un acteur unique ou un groupe utilisant des outils automatisés, comme en témoignent les dépôts aux noms aléatoires créés simultanément en juillet. Plus de 1400 instances Gogs étaient exposées en ligne, dont plus de 700 ont montré des signes de compromission. Le malware utilisé dans ces attaques semble lié à Supershell, un framework de commande et de contrôle (C2) open-source.

Points Clés :

  • Vulnérabilité : CVE-2025-8110 (Gogs - RCE via traversée de chemin et liens symboliques)
  • Cause : Faiblesse dans la validation des liens symboliques dans l’API PutContents, permettant l’écrasement de fichiers critiques en dehors du dépôt.
  • Impact : Exécution de code à distance (RCE) sur les serveurs Gogs exposés sur Internet.
  • Victimes : Plus de 700 serveurs Gogs compromis, parmi plus de 1400 instances exposées en ligne.
  • Outils utilisés : Supershell (framework C2) et des liens symboliques pour exploiter la faille.
  • Activité observée : Dépôts avec des noms aléatoires créés en juillet, suggérant une campagne automatisée.

Vulnérabilités :

  • CVE-2025-8110 : Gogs Remote Code Execution vulnerability (par traversée de chemin via liens symboliques).
  • Une faiblesse dans la validation des destinations des liens symboliques dans les versions corrigées de CVE-2024-55947.

Recommandations :

  • Désactiver immédiatement la fonction d’enregistrement ouvert (“Open Registration”) qui est activée par défaut.
  • Restreindre l’accès au serveur Gogs via un VPN ou une liste d’adresses IP autorisées (allow list).
  • Vérifier la présence d’une utilisation suspecte de l’API PutContents et de dépôts avec des noms de huit caractères aléatoires pour détecter une éventuelle compromission.

Source

Vous pourriez aimer