Lỗ hổng bảo mật chưa được vá Gogs bị khai thác trên hơn 700 máy chủ đang diễn ra

[T-X]

Theo những phát hiện mới từ Wiz, một lỗ hổng bảo mật nghiêm trọng chưa được vá trong Gogs đang bị khai thác tích cực, với hơn 700 máy chủ bị xâm nhập có thể truy cập được qua internet.

Lỗ hổng này, được theo dõi với mã CVE-2025-8110 (điểm CVSS: 8.7), là một trường hợp ghi đè tệp trong API cập nhật tệp của dịch vụ Git tự lưu trữ dựa trên Go. Bản vá lỗi được cho là đang được phát triển. Công ty cho biết họ đã vô tình phát hiện ra lỗ hổng zero-day này vào tháng 7 năm 2025 khi điều tra một vụ nhiễm phần mềm độc hại trên máy tính của khách hàng.

Theo mô tả về lỗ hổng trên   Đăng nhập để xem liên kết, "Việc xử lý liên kết tượng trưng không đúng cách trong API PutContents của Gogs cho phép thực thi mã cục bộ."

Công ty bảo mật đám mây cho biết CVE-2025-8110 là một lỗ hổng có thể vượt qua lỗ hổng thực thi mã từ xa đã được vá trước đó ( CVE-2024-55947, điểm CVSS: 8.7), cho phép kẻ tấn công ghi một tệp vào một đường dẫn tùy ý trên máy chủ và giành quyền truy cập SSH vào máy chủ. Lỗ hổng CVE-2024-55947 đã được các nhà bảo mật khắc phục vào tháng 12 năm 2024.

Wiz cho biết bản vá lỗi do Gogs đưa ra để giải quyết CVE-2024-55947 có thể bị vượt qua bằng cách lợi dụng thực tế rằng Git (và do đó, Gogs) cho phép sử dụng các liên kết tượng trưng trong kho lưu trữ Git, và các liên kết tượng trưng đó có thể trỏ đến các tệp hoặc thư mục bên ngoài kho lưu trữ. Ngoài ra, API của Gogs cho phép sửa đổi tệp bên ngoài giao thức Git thông thường.

Do đó, việc không tính đến các liên kết tượng trưng có thể bị kẻ tấn công lợi dụng để thực thi mã tùy ý thông qua quy trình bốn bước:

    Tạo một kho lưu trữ Git tiêu chuẩn
    Tạo một liên kết tượng trưng duy nhất trỏ đến mục tiêu nhạy cảm.
    Sử dụng API PutContents để ghi dữ liệu vào liên kết tượng trưng, khiến hệ thống theo liên kết đó và ghi đè lên tệp đích bên ngoài kho lưu trữ.
    Ghi đè lên tệp ".git/config" (cụ thể là tệp sshCommand) để thực thi các lệnh tùy ý.

Về phần phần mềm độc hại được triển khai trong hoạt động này, nó được đánh giá là một payload dựa trên Supershell, một khung điều khiển và kiểm soát (C2) mã nguồn mở thường được các nhóm tin tặc Trung Quốc sử dụng, có thể thiết lập một shell SSH ngược tới máy chủ do kẻ tấn công kiểm soát ("119.45.176[.]196").

Wiz cho biết những kẻ tấn công đứng sau vụ khai thác lỗ hổng CVE-2025-8110 đã để lại các kho lưu trữ được tạo ra (ví dụ: "IV79VAew / Km4zoh4s") trên hệ thống điện toán đám mây của khách hàng, trong khi chúng hoàn toàn có thể thực hiện các bước để xóa hoặc đánh dấu chúng là riêng tư sau khi lây nhiễm. Sự bất cẩn này cho thấy đây là một chiến dịch theo kiểu "cướp đoạt nhanh chóng", Wiz nói thêm.

Tổng cộng có khoảng 1.400 máy chủ Gogs bị lộ thông tin, trong đó hơn 700 máy chủ có dấu hiệu bị xâm nhập, đặc biệt là sự xuất hiện của các tên chủ sở hữu/kho lưu trữ ngẫu nhiên gồm 8 ký tự. Tất cả các kho lưu trữ được xác định đều được tạo vào khoảng ngày 10 tháng 7 năm 2025.

"Điều này cho thấy rằng một tác nhân duy nhất, hoặc có thể là một nhóm các tác nhân đều sử dụng cùng một công cụ, chịu trách nhiệm cho tất cả các vụ lây nhiễm," các nhà nghiên cứu Gili Tikochinski và Yaara Shriki cho biết.

Do lỗ hổng này chưa có bản vá, điều cần thiết là người dùng phải tắt tính năng đăng ký mở, hạn chế tiếp xúc với internet và quét các máy ảo để tìm các kho lưu trữ có tên ngẫu nhiên gồm 8 ký tự.

Thông tin này được đưa ra cùng lúc Wiz cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các Mã thông báo truy cập cá nhân (PAT) bị rò rỉ của GitHub như những điểm xâm nhập có giá trị cao để có được quyền truy cập ban đầu vào môi trường đám mây của nạn nhân và thậm chí tận dụng chúng để di chuyển ngang giữa các đám mây từ GitHub đến mặt phẳng điều khiển của Nhà cung cấp dịch vụ đám mây (CSP).

Vấn đề ở đây là kẻ tấn công có quyền đọc cơ bản thông qua PAT có thể sử dụng chức năng tìm kiếm mã API của GitHub để phát hiện các tên bí mật được nhúng trực tiếp trong mã YAML của quy trình làm việc. Để mọi việc phức tạp hơn, nếu PAT bị khai thác có quyền ghi, kẻ tấn công có thể thực thi mã độc hại và xóa dấu vết hoạt động độc hại của chúng.

"Những kẻ tấn công đã lợi dụng các PAT bị xâm phạm để phát hiện tên của GitHub Action Secrets trong mã nguồn và sử dụng chúng trong các quy trình làm việc độc hại mới được tạo ra để thực thi mã và lấy được các bí mật CSP," nhà nghiên cứu Shira Ayal cho biết. "Các tác nhân đe dọa cũng đã được quan sát thấy đang đánh cắp các bí mật đến một điểm cuối webhook mà chúng kiểm soát, hoàn toàn bỏ qua nhật ký Action."