はじめに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ゼロデイ攻撃で悪用された深刻なGogsのリモートコード実行(RCE)脆弱性について、連邦政府機関に対しシステムの保護を命じました。この脆弱性は、GitLabやGitHub Enterpriseの代替として利用され、Go言語で開発されたGogsに影響を与え、速やかなパッチ適用が求められています。
脆弱性の詳細:CVE-2025-8110
本脆弱性はCVE-2025-8110として追跡されており、GogsのPutContents APIにおけるパス・トラバーサルの欠陥に起因します。これにより、認証された攻撃者が以前のRCEバグ(CVE-2024-55947)のパッチを回避し、リポジトリ外のファイルを上書きすることが可能になります。
攻撃者は、次のような手順でこの脆弱性を悪用します:
- 機密性の高いシステムファイルを指すシンボリックリンクを含むリポジトリを作成。
- PutContents APIを使用してシンボリックリンク経由でデータを書き込み、リポジトリ外のターゲットファイルを上書き。
- 特に、Git設定ファイルのsshCommand設定を上書きすることで、標的システム上で任意のコマンドを実行することが可能になります。
攻撃と発見の経緯
この脆弱性は、Wiz Researchが7月に顧客のインターネットに公開されたGogsサーバーでマルウェア感染を調査中に発見し、7月17日にGogsのメンテナーに報告しました。メンテナーは3ヶ月後の10月30日に報告を認め、記事執筆時点の先週、CVE-2025-8110に対するパッチをリリースしました。このパッチは、すべてのファイル書き込みエントリポイントにシンボリックリンクを認識するパス検証を追加しています。
Wiz Researchが共有した情報によると、11月1日にはこの脆弱性を標的としたゼロデイ攻撃の第2波が観測されました。調査の結果、1,400以上のGogsサーバーがインターネットに公開されており、そのうち700以上のインスタンスで侵害の兆候が見られたとのことです。
CISAの指示と推奨事項
CISAはWizの報告を「実際に悪用されている脆弱性リスト」に追加し、連邦民間行政機関(FCEB)に対し、2026年2月2日までにパッチを適用するよう指示しました。これは、約3週間以内という緊急の対応を意味します。
CISAは、「この種の脆弱性は悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦政府のシステムに重大なリスクをもたらす」と警告しています。
以下の対応が推奨されています:
- ベンダーの指示に従って緩和策を適用する。
- クラウドサービスについては、BOD 22-01ガイダンスに従う。
- 緩和策が利用できない場合は、製品の使用を中止する。
管理者への推奨対策
Gogsユーザーは、攻撃対象領域をさらに減らすために、直ちにデフォルトのオープン登録設定を無効にし、VPNまたは許可リストを使用してサーバーへのアクセスを制限することが推奨されます。また、Gogsインスタンスで侵害の兆候を確認したい管理者は、不審なPutContents APIの使用状況や、2回の攻撃中に作成されたランダムな8文字の名前を持つリポジトリを探す必要があります。