Uma vulnerabilidade de alta gravidade e ainda sem patch no Gogs está sendo explorada ativamente, com mais de 700 instâncias comprometidas e acessíveis pela internet, segundo nova investigação da Wiz.
Identificada como
CVE-2025-8110
, com score CVSS 8,7, a falha consiste em uma vulnerabilidade de sobrescrição de arquivo na API de atualização de arquivos do serviço Git self-hosted baseado em Go.
A correção ainda está em desenvolvimento.
A Wiz revelou que a zero-day foi descoberta acidentalmente em julho de 2025, durante a análise de uma infecção por malware no ambiente de um cliente.
De acordo com a descrição no CVE.org, o problema está no “manuseio inadequado de symbolic links na PutContents API do Gogs, permitindo execução local de código”.
A Wiz explicou que
CVE-2025-8110
funciona como um bypass para uma falha de execução remota de código (RCE) (
CVE-2024-55947
, também CVSS 8,7), corrigida em dezembro de 2024, que permitia a um invasor escrever arquivos em caminhos arbitrários no servidor e obter acesso SSH.
O novo exploit funciona porque o patch aplicado para
CVE-2024-55947
foi contornado ao abusar do uso legítimo de symbolic links em repositórios Git, que podem apontar para arquivos ou diretórios fora do repositório.
Além disso, a API do Gogs permite modificações de arquivos além do protocolo Git convencional.
A exploração ocorre em quatro etapas simples:
1. Criar um repositório Git padrão.
2. Fazer commit de um symbolic link apontando para um alvo sensível.
3. Usar a PutContents API para escrever dados no symlink, sobrescrevendo o arquivo externo ao repositório.
4. Sobrescrever o arquivo “.git/config” (especificamente o parâmetro sshCommand) para executar comandos arbitrários.
O malware envolvido utiliza o Supershell, um framework open-source para command-and-control (C2) amplamente associado a grupos chineses de hackers.
Ele permite a criação de uma reverse SSH shell para um servidor controlado pelos atacantes (IP 119.45.176[.]196).
Segundo a Wiz, os invasores deixaram os repositórios criados (como “IV79VAew” e “Km4zoh4s”) expostos no ambiente em nuvem do cliente, em vez de removê-los ou torná-los privados, sugerindo uma campanha de ataque do tipo “smash-and-grab”, focada em acesso rápido e fuga.
No total, foram encontradas cerca de 1.400 instâncias Gogs expostas, das quais mais de 700 apresentam sinais claros de comprometimento, principalmente pela presença de nomes aleatórios de oito caracteres em usuários e repositórios.
Todos esses repositórios foram criados próximo ao dia 10 de julho de 2025.
“Isso indica que um único ator, ou possivelmente um grupo utilizando a mesma ferramenta, é responsável por todas as infecções”, afirmaram os pesquisadores Gili Tikochinski e Yaara Shriki.
Como ainda não há patch disponível, a recomendação para os usuários é desabilitar registros públicos, limitar a exposição à internet e verificar instâncias em busca de repositórios com nomes aleatórios de oito caracteres.
Essa divulgação acompanha um alerta da Wiz sobre o uso malicioso de GitHub Personal Access Tokens (PAT) vazados, que têm sido explorados para obter acesso inicial a ambientes cloud e realizar movimentos laterais entre diferentes provedores de nuvem.
O problema é que, com permissões básicas de leitura via PAT, é possível usar a API do GitHub para buscar nomes de segredos embutidos em arquivos YAML de workflows.
Se o token explorado possui permissão de escrita, o invasor pode inserir códigos maliciosos e apagar rastros das ações.
“Os atacantes usam PATs comprometidos para localizar nomes de GitHub Action Secrets no código e inserir workflows maliciosos que executam código e capturam segredos do CSP”, explicou a pesquisadora Shira Ayal.
“Também foram observadas exfiltrações de segredos para webhooks controlados pelos invasores, ignorando completamente os logs do GitHub Actions.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...