Gogs 0-Day Vulnerability Exploited in the Wild to Hack 700+ Instances
2025/12/11 CyberSecurityNews — 人気のセルフホスト型 Git サービス Gogs が公表したのは、深刻なゼロデイ脆弱性 CVE-2025-8110 が、現時点で悪用されているという情報である。この脆弱性を悪用する認証済みのユーザーは、シンボリックリンクを介して保護機構をバイパスし、リモート・コード実行 (RCE) を可能にする。この記事の執筆時点で、修正パッチは提供されていない。一部の研究者たちは、インターネット上で公開されている Gogs インスタンスの 50% 以上が、すでに侵害されていると推測している。
2025年7月10日に実施された、顧客のワークロードにおけるマルウェア感染を対象とした定期調査において、この脆弱性が発見された。その後に、侵入経路を分析した Wiz のアナリストたちは、セキュア・バージョン (0.13.2) を稼働させている Gogs インスタンスが侵入元になっていることを確認した。
詳細な分析の結果として判明したのは、Gogs API におけるリグレッションを悪用する 脅威アクターが、古い脆弱性 CVE-2024-55947 への対策として実装されていた保護機構をバイパスしていたことだった。
Gogs の API を経由するファイル変更処理の実装に、この回避を可能にする根本的な要因がある。過去において入力パスの検証を追加することで、前回のパス・トラバーサルの脆弱性が修正されたが、シンボリックリンク (symlink) の扱いが考慮されていなかった。Gogs は標準の Git プロトコルに準拠しており、ユーザーによる symlink のコミットを許可している。
この欠陥を突く攻撃者はリポジトリを作成し、リポジトリ外の機密ファイル (システム設定ファイルなど) を指す symlink をコミットする。その後に、PutContents API を使用して、この symlink の参照先にデータを書き込むことで、この脆弱性を悪用できる。
具体的に言うと、PutContents API はファイル・パス名自体は検証するが、symlink の参照先までは検証しない。この仕様を悪用する攻撃者は、ホスト・システム上のファイル (.git/config など) を上書きし、sshCommand パラメータに悪意あるコマンドを挿入することで RCE を実行する。
この脆弱性を悪用する前提として、リポジトリ作成権限を持つアカウントが必要となる。しかし、多くの Gogs インスタンスでは、デフォルトで “Open Registration” が有効化されているため、攻撃の対象領域が広範囲に及ぶ。Wiz は約 1,400 件の公開 Gogs インスタンスを特定しており、そのうち 700 件以上で侵害の兆候を確認している。
これらの侵害状況を踏まえると、観測された攻撃を引き起こしたのは、自動化されたスマッシュ・アンド・グラブ手法を用いる攻撃者もしくは攻撃グループだとみられる。すべての侵害されたインスタンスは、7月10日前後の短期間に作成された、ランダムな8文字の名称を持つリポジトリを使用していた。
攻撃で配信されたペイロードは、Go 言語で実装されたオープンソースの C2 (Command and Control) フレームワーク Supershell であった。このマルウェアは、UPX によるパッキングに加え、文字列リテラルの暗号化やクラス名のランダム化を行っている。具体的には、garble ツールが用いられ、リバース・エンジニアリングを困難にする高度な難読化に対応している。Supershell は、Web サービス経由でリバース SSH シェルを確立し、攻撃者に対して永続的なリモート・アクセスを提供するものだ。
脆弱性の概要と IoC
| Feature | Details |
|---|---|
| Zero-Day CVE | CVE-2025-8110 (Symlink Bypass) |
| Related CVE | CVE-2024-55947 (Original RCE) |
| Affected Software | Gogs (Self-Hosted Git Service) |
| Affected Versions | v0.13.3 and prior |
| Status | Unpatched (Active Exploitation) |
| C2 IP Address | 119.45.176[.]196, 106.53.108[.]81, 119.91.42[.]53 |
Wiz は、2025年7月17日の時点で責任ある開示を行っている。そして、10月にはメンテナー側も、この問題を認識していた。しかし、この脆弱性はメイン・ブランチにおいて未修正の状態が継続している。
Gogs を運用する管理者にとって必要なことは、インスタンスがインターネットに公開され、”Open Registration” が有効な場合には、きわめて高い侵害リスクがあることを前提にして対応の方針を検討することだ。
直ちに実施すべき緩和策としては、”Open Registration” を無効化して、不正なアカウント作成を防止することである。また、VPN や IP 許可リストを用いて、サービスへのアクセスを制限することも推奨される。それに加えて、セキュリティ・チームに求められるのは、予期しないリポジトリの作成や、PutContents API の異常な使用状況を継続的に監視/スキャンすることだ。
このゼロデイ脆弱性 CVE-2025-8110 の原因は、Gogs が過去の脆弱性対策として実装した保護機構のバイパスにあります。そのときの Gogs は、ファイルのパス名自体は検証していましたが、Gitの標準プロトコルで許可されているシンボリックリンク (symlink) の参照先を適切に検証していませんでした 。この symlink の参照先検証の欠如が原因で、悪意のユーザーはリポジトリ外の重要なシステム設定ファイル (例:SSH 設定ファイル) を symlinkで指し示し、その参照先に API を使ってデータを書き込むことで、リモート・コード実行 (RCE) を可能にしました。すでに悪用が確認されているため、修正パッチが提供されるまでの間は、アクセス制限の強化が重要となります。よろしければ、Gogs での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.