Een zeer ernstig, niet-gepatcht beveiligingsprobleem in Gogs wordt actief uitgebuit, waarbij volgens nieuwe bevindingen van Wiz meer dan 700 gecompromitteerde instanties via internet toegankelijk zijn.
De fout, bijgehouden als CVE-2025-8110 (CVSS-score: 8,7), is een geval van bestandsoverschrijving in de bestandsupdate-API van de op Go gebaseerde, zelf-gehoste Git-service. Er wordt momenteel gewerkt aan een oplossing voor het probleem. Het bedrijf zei dat het de zero-day-fout in juli 2025 per ongeluk ontdekte tijdens het onderzoeken van een malware-infectie op de machine van een klant.
“Onjuiste verwerking van symbolische links in de PutContents API in Gogs maakt lokale uitvoering van code mogelijk”, aldus een beschrijving van de kwetsbaarheid op CVE.org.
Het cloudbeveiligingsbedrijf zei dat CVE-2025-8110 een bypass is voor een eerder gepatchte fout bij het uitvoeren van externe code (CVE-2024-55947, CVSS-score: 8,7), waardoor een aanvaller een bestand naar een willekeurig pad op de server kan schrijven en SSH-toegang tot de server kan krijgen. CVE-2024-55947 is in december 2024 door de schilders aangepakt.
Wiz zei dat de oplossing die door Gogs is ingevoerd om CVE-2024-55947 op te lossen, kan worden omzeild door gebruik te maken van het feit dat Git (en dus Gogs) toestaat dat symbolische links worden gebruikt in git-repository’s, en die symlinks kunnen verwijzen naar bestanden of mappen buiten de repository. Bovendien maakt de Gogs API bestandswijzigingen mogelijk buiten het reguliere Git-protocol.
Als gevolg hiervan kan dit onvermogen om rekening te houden met symlinks door een aanvaller worden misbruikt om willekeurige code-uitvoering te bewerkstelligen via een proces van vier stappen:
- Maak een standaard Git-repository
- Leg een enkele symbolische link vast die naar een gevoelig doelwit verwijst
- Gebruik de PutContents API om gegevens naar de symlink te schrijven, waardoor het systeem de link volgt en het doelbestand buiten de repository overschrijft
- Overschrijf “.git/config” (met name de sshCommand) om willekeurige opdrachten uit te voeren
Wat de malware betreft die bij de activiteit wordt ingezet, wordt aangenomen dat deze een payload is gebaseerd op Supershell, een open-source command-and-control (C2)-framework dat vaak wordt gebruikt door Chinese hackgroepen en dat een omgekeerde SSH-shell kan opzetten voor een door de aanvaller bestuurde server (“119.45.176(.)196”).
Wiz zei dat de aanvallers achter de exploitatie van CVE-2025-8110 de aangemaakte opslagplaatsen (bijvoorbeeld “IV79VAew / Km4zoh4s”) op de cloudwerklast van de klant achterlieten terwijl ze stappen hadden kunnen ondernemen om deze na de infectie te verwijderen of als privé te markeren. Deze onzorgvuldigheid duidt op een campagne in ‘smash-and-grab’-stijl, voegde het eraan toe.
In totaal zijn er ongeveer 1.400 blootgestelde Gogs-instanties, waarvan er meer dan 700 tekenen van compromis hebben vertoond, met name de aanwezigheid van willekeurige namen van eigenaren/repository’s van 8 tekens. Alle geïdentificeerde opslagplaatsen zijn rond 10 juli 2025 aangemaakt.
“Dit suggereert dat één enkele actor, of misschien een groep actoren die allemaal dezelfde tool gebruiken, verantwoordelijk is voor alle infecties”, aldus onderzoekers Gili Tikochinski en Yaara Shriki.
Aangezien er nog geen oplossing bestaat voor het beveiligingslek, is het van essentieel belang dat gebruikers de open registratie uitschakelen, de blootstelling aan internet beperken en instanties scannen op opslagplaatsen met willekeurige namen van acht tekens.
De onthulling komt op het moment dat Wiz ook waarschuwde dat bedreigingsactoren zich richten op gelekte GitHub Personal Access Tokens (PAT) als waardevolle toegangspunten om initiële toegang te verkrijgen tot slachtoffer-cloudomgevingen en deze zelfs te gebruiken voor cross-cloud laterale beweging van GitHub naar Cloud Service Provider (CSP) controlevlak.
Het probleem is dat een bedreigingsacteur met basisleesrechten via een PAT de API-codezoekopdracht van GitHub kan gebruiken om geheime namen te ontdekken die rechtstreeks in de YAML-code van een workflow zijn ingebed. Om de zaken nog ingewikkelder te maken: als de uitgebuite PAT schrijfrechten heeft, kunnen aanvallers kwaadaardige code uitvoeren en sporen van hun kwaadaardige activiteiten verwijderen.
“Aanvallers maakten gebruik van gecompromitteerde PAT’s om GitHub Action Secrets-namen in de codebase te ontdekken, en gebruikten deze in nieuw gecreëerde kwaadaardige workflows om code uit te voeren en CSP-geheimen te verkrijgen”, aldus onderzoeker Shira Ayal. “Er is ook waargenomen dat bedreigingsactoren geheimen naar een webhook-eindpunt dat zij controleren, exfiltreren, waarbij ze de actielogboeken volledig omzeilen.”
