Uma vulnerabilidade de alta gravidade e ainda sem patch no Gogs está sendo explorada ativamente, com mais de 700 instâncias comprometidas e acessíveis pela internet, segundo nova investigação da Wiz.
Identificada como
CVE-2025-8110
, com score CVSS 8,7, a falha consiste em uma vulnerabilidade de sobrescrição de arquivo na API de atualização de arquivos do serviço Git self-hosted baseado em Go.
A correção ainda está em desenvolvimento.
A Wiz revelou que a zero-day foi descoberta acidentalmente em julho de 2025, durante a análise de uma infecção por malware no ambiente de um cliente.
De acordo com a descrição no CVE.org, o problema está no “manuseio inadequado de symbolic links na PutContents API do Gogs, permitindo execução local de código”.
A Wiz explicou que
CVE-2025-8110
funciona como um bypass para uma falha de execução remota de código (RCE) (
CVE-2024-55947
, também CVSS 8,7), corrigida em dezembro de 2024, que permitia a um invasor escrever arquivos em caminhos arbitrários no servidor e obter acesso SSH.
O novo exploit funciona porque o patch aplicado para
CVE-2024-55947
foi contornado ao abusar do uso legítimo de symbolic links em repositórios Git, que podem apontar para arquivos ou diretórios fora do repositório.
Além disso, a API do Gogs permite modificações de arquivos além do protocolo Git convencional.
A exploração ocorre em quatro etapas simples:
1. Criar um repositório Git padrão.
2. Fazer commit de um symbolic link apontando para um alvo sensível.
3. Usar a PutContents API para escrever dados no symlink, sobrescrevendo o arquivo externo ao repositório.
4. Sobrescrever o arquivo “.git/config” (especificamente o parâmetro sshCommand) para executar comandos arbitrários.
O malware envolvido utiliza o Supershell, um framework open-source para command-and-control (C2) amplamente associado a grupos chineses de hackers.
Ele permite a criação de uma reverse SSH shell para um servidor controlado pelos atacantes (IP 119.45.176[.]196).
Segundo a Wiz, os invasores deixaram os repositórios criados (como “IV79VAew” e “Km4zoh4s”) expostos no ambiente em nuvem do cliente, em vez de removê-los ou torná-los privados, sugerindo uma campanha de ataque do tipo “smash-and-grab”, focada em acesso rápido e fuga.
No total, foram encontradas cerca de 1.400 instâncias Gogs expostas, das quais mais de 700 apresentam sinais claros de comprometimento, principalmente pela presença de nomes aleatórios de oito caracteres em usuários e repositórios.
Todos esses repositórios foram criados próximo ao dia 10 de julho de 2025.
“Isso indica que um único ator, ou possivelmente um grupo utilizando a mesma ferramenta, é responsável por todas as infecções”, afirmaram os pesquisadores Gili Tikochinski e Yaara Shriki.
Como ainda não há patch disponível, a recomendação para os usuários é desabilitar registros públicos, limitar a exposição à internet e verificar instâncias em busca de repositórios com nomes aleatórios de oito caracteres.
Essa divulgação acompanha um alerta da Wiz sobre o uso malicioso de GitHub Personal Access Tokens (PAT) vazados, que têm sido explorados para obter acesso inicial a ambientes cloud e realizar movimentos laterais entre diferentes provedores de nuvem.
O problema é que, com permissões básicas de leitura via PAT, é possível usar a API do GitHub para buscar nomes de segredos embutidos em arquivos YAML de workflows.
Se o token explorado possui permissão de escrita, o invasor pode inserir códigos maliciosos e apagar rastros das ações.
“Os atacantes usam PATs comprometidos para localizar nomes de GitHub Action Secrets no código e inserir workflows maliciosos que executam código e capturam segredos do CSP”, explicou a pesquisadora Shira Ayal.
“Também foram observadas exfiltrações de segredos para webhooks controlados pelos invasores, ignorando completamente os logs do GitHub Actions.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...