Unpatched Gogs Zero-Day Exploited Across 700+ Instances Amid Active Attacks

Gogs : Une vulnérabilité critique exploitée activement

Une faille de sécurité majeure, non corrigée, affectant le service d’hébergement Git auto-hébergé Gogs est actuellement exploitée par des attaquants. Plus de 700 instances accessibles publiquement ont été compromises.

Points clés :

• Vulnérabilité CVE-2025-8110 : Il s’agit d’une faille de remplacement de fichier dans l’API de mise à jour de fichiers de Gogs, permettant une exécution de code à distance (RCE). Elle contourne une précédente correction (CVE-2024-55947) grâce à une mauvaise gestion des liens symboliques.
• Mécanisme d’exploitation : Les attaquants créent un dépôt Git, y incluent un lien symbolique pointant vers un fichier sensible, puis utilisent l’API PutContents pour écraser ce fichier. Ils modifient ensuite le fichier de configuration SSH pour exécuter des commandes arbitraires.
• Malware utilisé : Le malware déployé est basé sur Supershell, un framework C2 open-source souvent utilisé par des groupes de piratage chinois.
• Stratégie d’attaque : Les compromissions semblent être de type “coup de poing et coup de pied”, avec des dépôts créés rapidement et des noms aléatoires, indiquant une campagne ciblée et potentiellement par un acteur unique utilisant les mêmes outils.

Vulnérabilités identifiées :

• CVE-2025-8110 (CVSS 8.7) : Remplacement de fichier via mauvaise gestion des liens symboliques dans l’API PutContents.
• CVE-2024-55947 (CVSS 8.7) : Vulnérabilité RCE antérieure, contournée par la nouvelle faille.

Recommandations :

• Désactiver l’inscription ouverte sur les instances Gogs.
• Limiter l’exposition des instances Gogs à Internet.
• Scanner les instances à la recherche de dépôts avec des noms aléatoires de 8 caractères.
• Appliquer les correctifs dès qu’ils sont disponibles (un correctif pour CVE-2025-8110 est en cours).

Source