Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CISA orders feds to patch Gogs RCE flaw exploited in zero-day attacks

1 minute de lecture

Mis à jour :

Alerte de Sécurité Critique pour Gogs : Exploitation Active d’une Vulnérabilité Majeure

Une faille de sécurité critique touchant Gogs, un logiciel d’hébergement de code source autohébergé, a été détectée et exploitée dans des attaques dites “zero-day”. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un ordre pour que les agences gouvernementales fédérales corrigent leurs systèmes.

Points Clés :

  • Nature de la Vulnérabilité : Il s’agit d’une faille d’exécution de code à distance (RCE) de haute gravité.
  • Mode d’Attaque : Les attaquants peuvent exploiter cette vulnérabilité en créant des dépôts contenant des liens symboliques vers des fichiers système sensibles. Ensuite, en utilisant l’API PutContents, ils peuvent écraser ces fichiers, y compris des configurations Git critiques comme sshCommand, afin d’exécuter des commandes arbitraires sur les systèmes cibles.
  • Exploitation Actuelle : La faille a été découverte lors de l’analyse d’une infection par logiciel malveillant et a fait l’objet d’une seconde vague d’attaques zero-day dès le 1er novembre. Plus de 1 400 serveurs Gogs exposés en ligne ont été identifiés, dont plus de 700 montrant des signes de compromission.
  • Intervention de la CISA : La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues et exploitées et a ordonné aux agences fédérales de la corriger sous trois semaines, soit avant le 2 février 2026.

Vulnérabilités Identifiées :

  • CVE-2025-8110 : Vulnérabilité de traversée de répertoire (“path traversal”) dans l’API PutContents. Permet d’outrepasser les protections contre une précédente faille RCE (CVE-2024-55947) en écrasant des fichiers en dehors du répertoire via des liens symboliques.

Recommandations :

  • Mise à Jour Immédiate : Appliquer les correctifs fournis par Gogs.
  • Désactiver l’Ouverture d’Enregistrement : Désactiver le réglage par défaut de création de compte ouverte pour réduire la surface d’attaque.
  • Limiter l’Accès : Restreindre l’accès aux serveurs Gogs via un VPN ou une liste blanche d’adresses IP autorisées.
  • Surveillance des Compromissions : Rechercher une utilisation suspecte de l’API PutContents et des dépôts avec des noms aléatoires à huit caractères créés lors des vagues d’attaques.
  • Discontinuer l’Usage : Si les correctifs ne sont pas disponibles, envisager de discontinuer l’utilisation du produit.

Source

Vous pourriez aimer