はじめに
人気のセルフホスト型GitサービスであるGogsに未修正のゼロデイ脆弱性が悪用され、インターネットに公開されているインスタンスが攻撃を受け、数百台のサーバーが侵害されたことが明らかになりました。
脆弱性の詳細 (CVE-2025-8110)
今回悪用されたのは、GogsのCVE-2025-8110と呼ばれるリモートコード実行 (RCE) の脆弱性です。この脆弱性は、PutContents APIにおけるパス・トラバーサルの欠陥に起因します。
この欠陥により、攻撃者は以前に修正されたRCEのバグ(CVE-2024-55947)に対する防御策を回避できます。具体的には、リポジトリ外のファイルを上書きするためにシンボリックリンクを利用します。CVE-2024-55947を修正したGogsのバージョンでは、ディレクトリトラバーサルを防ぐためにパス名の検証が行われていますが、シンボリックリンクの宛先が適切に検証されていませんでした。
攻撃者は、機密性の高いシステムファイルを指すシンボリックリンクを含むリポジトリを作成し、PutContents APIを使用してシンボリックリンクを介してデータを書き込むことで、リポジトリ外のターゲットを上書きすることが可能です。これにより、Gitの構成ファイル、特にsshCommand設定を上書きすることで、標的システムに任意のコマンドを実行させることができます。
攻撃の手口と影響
Wiz Researchが顧客のインターネットに公開されているGogsサーバーのマルウェア感染を調査する中で、この脆弱性を発見しました。調査の結果、オンラインで公開されている1,400以上のGogsサーバーが確認され、そのうち700以上のインスタンスで侵害の兆候が見られました。
侵害されたインスタンスには、いずれも7月に作成されたランダムな8文字の名前のリポジトリが存在するなど、同一の攻撃パターンが見られました。これは、単一の攻撃者またはグループが自動化されたツールを使用してキャンペーンを実行していることを示唆しています。
展開されたマルウェアは、オープンソースのコマンド&コントロール(C2)フレームワークであるSupershellを使用して作成されており、Webサービスを介してリバースSSHシェルを確立します。マルウェアは119.45.176[.]196のC2サーバーと通信していました。
Wiz Researchによる発見と調査
Wiz Researchは7月17日にGogsのメンテナーにこの脆弱性を報告し、メンテナーは10月30日にその欠陥を認め、パッチの開発中であると回答しました。しかし、Wiz Researchが共有した開示タイムラインによると、11月1日には第二波の攻撃が確認されています。
対策と推奨事項
Gogsユーザーは、直ちに以下の対策を講じることが強く推奨されます。
- デフォルトで有効になっている「オープン登録」設定を無効にする。
- VPNまたは許可リストを使用して、サーバーへのアクセスを制限する。
- 侵害の有無を確認するには、不審な
PutContentsAPIの使用履歴や、ランダムな8文字の名前を持つリポジトリがないかを確認する。