Уязвимость нулевого дня в популярном сервисе для самостоятельного хостинга Git-репозиториев Gogs позволяет злоумышленникам удаленно выполнять произвольный код, что привело к взлому сотен серверов по всему миру.

Gogs написан на Go и позиционируется как альтернатива GitLab или GitHub Enterprise. Многие разработчики и компании держат их доступным через интернет для удаленной совместной работы над проектами. Однако это делает такие серверы легкой мишенью для атак, а теперь исследователи зафиксировали масштабную кампанию, эксплуатирующую критическую уязвимость.

Проблема получила идентификатор CVE-2025-8110 и связана с path traversal уязвимостью в API PutContents сервиса. Баг позволяет обойти защиту, внедренную для другой RCE-проблемы (CVE-2024-55947), которую разработчики исправили ранее. Как обнаружили специалисты, хакеры научились использовать символические ссылки для перезаписи файлов за пределами репозитория.

Дело в том, что версии Gogs, в которых исправлена уязвимость CVE-2024-55947, теперь проверяют пути файлов, чтобы предотвратить directory traversal. Однако эти проверки не распространяются символические ссылки. В результате атакующие могут создать репозиторий с симлинками, указывающими на важные системные файлы, а затем использовать API PutContents для записи данных через эту ссылку, перезаписывая файлы, как им заблагорассудится.

Перезаписывая конфигурационные файлы Git, в частности параметр sshCommand, хакеры вынуждают целевую систему выполнять произвольные команды.

Эксперты из компании Wiz обнаружили новую уязвимость еще в июле 2025, когда изучали малварь на Gogs-сервере одного из своих клиентов. Дальнейший анализ показал, что в сети можно найти более 1400 публично доступных серверов Gogs, а свыше 700 из них демонстрируют признаки компрометации.

Все взломанные инстансы, обнаруженные в ходе расследования, демонстрируют одинаковый паттерн: репозитории со случайными восьмисимвольными названиями, созданные примерно в одно и то же время (в июле 2025 года). Это указывает на то, что за вредоносной кампанией стоит один и тот же злоумышленник или группа, использующая автоматизированные инструменты.

Также эксперты Wiz выяснили, что развернутая на серверах малварь создана с помощью Supershell — опенсорсного C2-фреймворка, который устанавливает обратные SSH-шеллы через веб-сервисы. Дополнительный анализ показал, что вредонос связывается с управляющим сервером по адресу 119.45.176[.]196.

Исследователи сообщили о проблеме мейнтейнерам Gogs еще 17 июля. Те подтвердили уязвимость 30 октября и сообщили, что работают над созданием патча. Согласно хронологии, которую опубликовала команда Wiz, вторая волна атак началась 1 ноября 2025 года.

Так как исправления пока нет, пользователям Gogs рекомендуется немедленно отключить дефолтную настройку Open Registration и ограничить доступ к серверу. Чтобы проверить, не взломан ли инстанс, следует искать подозрительную активность, связанную с API PutContents, а также репозитории со случайными восьмисимвольными названиями.