Sicherheitsforscher von Wiz Threat Research haben eine aktiv ausgenutzte Zero-Day-Schwachstelle im selbst gehosteten Git-Service Gogs identifiziert. Die als CVE-2025-8110 geführte Lücke erlaubt es authentifizierten Nutzern, Dateien außerhalb eines Git-Repositories zu überschreiben und so beliebigen Code auszuführen. Besonders brisant: Die Schwachstelle wird bereits seit Monaten im großen Stil ausgenutzt, ein offizieller Patch steht bislang nicht zur Verfügung.

Alte Lücke erneut ausgenutzt

Technisch handelt es sich bei CVE-2025-8110 um einen Bypass einer bereits im Jahr 2024 geschlossenen RCE-Schwachstelle (CVE-2024-55947). Damals hatten die Maintainer eine Path-Traversal-Lücke in der PutContents-API durch zusätzliche Pfadvalidierungen entschärft. Die aktuelle Variante umgeht diese Schutzmaßnahme, indem sie symbolische Links nutzt, deren Zielpfade von der API nicht überprüft werden. Da Gogs das Anlegen von Symlinks gemäß Git-Standard erlaubt, können Schreibzugriffe so effektiv aus dem Repository-Verzeichnis herausgeleitet werden.

Der eigentliche Angriffsweg ist vergleichsweise simpel und erfordert lediglich Berechtigungen zur Repository-Erstellung, die in vielen Installationen standardmäßig aktiv sind. Angreifer legen ein Repository an, committen darin einen symbolischen Link auf eine sensible Datei und überschreiben diese anschließend über die API. Besonders effektiv ist das Überschreiben der Datei ".git/config", etwa um den Parameter "sshCommand" zu manipulieren und darüber Befehle auf dem Server auszuführen. Ähnliche Schwächen im Umgang mit symbolischen Links waren in der Vergangenheit bereits mehrfach Ursache kritischer Gogs-Sicherheitslücken.

Zahlreiche Server gehackt

Die Auswertung öffentlich erreichbarer Systeme zeigt das Ausmaß der Kampagne. Laut Wiz sind rund 1400 Gogs-Instanzen im Internet exponiert, mehr als 700 davon weisen eindeutige Spuren einer Kompromittierung auf. Charakteristisch sind automatisiert angelegte Repositories mit zufälligen achtstelligen Namen, die zeitlich eng mit den beobachteten Angriffswellen zusammenfallen. Die untersuchten Infektionen lassen auf eine zentral gesteuerte, automatisierte Angriffskampagne schließen.

Auf kompromittierten Systemen wurde zudem identische Malware gefunden, die stark verschleiert und in Go programmiert ist. Die Analyse führte zu dem Open-Source-Framework Supershell, das Angreifern eine Reverse-SSH-Verbindung über Webdienste ermöglicht und als Command-and-Control-Komponente dient. Betreibern von Gogs-Servern wird dringend geraten, offene Registrierungen zu deaktivieren, öffentlich erreichbare Instanzen abzusichern und verdächtige Repository-Aktivitäten zu prüfen, bis ein offizielles Sicherheitsupdate verfügbar ist.