はじめに
セキュリティ研究者らは、広く利用されているセルフホスト型Gitサービス「Gogs」において、活発に悪用されているゼロデイ脆弱性を確認しました。この脆弱性により、インターネット上に公開されている700以上のサーバーがすでに侵害されています。
2025年12月初旬の時点で、この脅威を軽減するための公式パッチはまだ提供されておらず、数千のインスタンスがリモート攻撃に対して脆弱なままとなっています。
脆弱性の詳細:シンボリックリンクバイパス
この脆弱性は「CVE-2025-8110」として追跡されており、以前パッチが適用された脆弱性「CVE-2024-55947」の回避を可能にするものです。以前の脆弱性ではパス・トラバーサルが許可されていましたが、これはファイルパスに対する厳格な入力検証を実装することで修正されました。
しかし、今回の新しいゼロデイ脆弱性は、シンボリックリンクの宛先の検証が不十分である点を悪用しています。Wizによると、リポジトリ作成権限を持つ攻撃者は、リポジトリ外の場所にシンボリックリンクをポイントするファイルをアップロードすることで、この脆弱性を悪用できます。その後、APIを使用してそのシンボリックリンクにデータを書き込むことで、機密性の高いシステムファイルを上書きすることが可能になります。
観測された攻撃と影響
観測された攻撃では、脅威アクターがSSH設定ファイルを上書きし、システムに任意のコマンドを実行させることで、完全なリモートコード実行(RCE)を実現しています。
現在進行中の攻撃キャンペーンは高度に自動化されており、侵害されたサーバーには、短期間に作成されたランダムな8文字の名前のリポジトリといった特定の痕跡が見られます。調査の結果、研究者が観測した公開Gogsインスタンスの約50%が感染の兆候を示していることが明らかになりました。
脅威アクターの使用ツール
脅威アクターは、リバースSSHシェルを確立するためのオープンソースツールである「Supershellフレームワーク」を展開しています。このペイロードにより、攻撃者は永続性を維持し、コマンド&コントロール(C2)サーバーを介して侵害されたサーバーをリモートで制御しています。
今後の対策
Gogsの公式パッチが提供されるまで、管理者にはGogsインスタンスを外部に公開しない、またはアクセス制御を強化するといった暫定的な対策を検討することが強く推奨されます。また、異常なリポジトリ作成やSSH設定ファイルの変更がないか、システムログを継続的に監視する必要があります。