- 27,161
- 46
- 8 Ноя 2022
Достаточно стандартных настроек, чтобы 0day дала обычному пользователю куда больше, чем положено.
В Gogs , Git-сервисе для хранения кода и совместной работы, который компании разворачивают на собственных серверах, нашли новую уязвимость нулевого дня, позволяющую злоумышленнику удалённо выполнить код на сервере, доступном из интернета.
Проблему обнаружил старший специалист Rapid7 Джона Бёрджесс. По его данным, критическая уязвимость связана с внедрением аргументов и пока не получила CVE-идентификатор. Ошибка затрагивает актуальные версии Gogs 0.14.2 и 0.15.0+dev. Для атаки нужны права обычного зарегистрированного пользователя, администраторский доступ не требуется.
Gogs используют как самостоятельную альтернативу GitHub Enterprise и GitLab. Сервис написан на Go и часто доступен из интернета, поскольку команды работают с репозиториями удалённо. Бёрджесс предупредил, что при стандартной конфигурации Gogs разрешает открытую регистрацию и не ограничивает создание репозиториев. Поэтому атакующий может сам завести аккаунт, создать репозиторий, включить слияние с перебазированием в настройках и провести атаку без участия других пользователей.
Атака проходит через pull request с вредоносным именем ветки. Такая ветка позволяет внедрить флаг --exec в git rebase во время операции «Rebase before merging». В результате злоумышленник может выполнить произвольный код с правами процесса Gogs.
Последствия могут быть серьёзными: захват сервера, чтение всех репозиториев на площадке, включая закрытые проекты других пользователей, выгрузка хешей паролей, API-токенов, SSH-ключей и секретов двухфакторной аутентификации. Также возможны переход к другим системам внутри сети и подмена кода в размещённых репозиториях.
Rapid7 сообщила о проблеме разработчикам Gogs 17 марта. Команда проекта подтвердила получение отчёта 28 марта, но исправление пока не выпустила и не ответила на последующие запросы о статусе. Бёрджесс связывает новую ошибку с похожими уязвимостями внедрения аргументов, которые Gogs исправлял раньше, но подчёркивает, что нынешняя проблема находится в другом участке кода, связанном с Merge().
Shadowserver отслеживает более 2400 серверов Gogs, доступных из интернета. Большая часть находится в Азии, ещё несколько сотен размещены в Европе. Shodan показывает чуть больше 1000 IP-адресов с признаками Gogs.
Случай напоминает прошлую историю с CVE-2025-8110 . В начале декабря команда Gogs закрыла другую RCE-уязвимость, которую уже использовали в атаках на сотни серверов. Wiz Research выявила ту проблему при расследовании взлома Gogs-сервера, доступного из интернета, а CISA позже внесла CVE-2025-8110 в каталог активно эксплуатируемых уязвимостей и обязала федеральные гражданские ведомства США защитить свои системы.
В Gogs , Git-сервисе для хранения кода и совместной работы, который компании разворачивают на собственных серверах, нашли новую уязвимость нулевого дня, позволяющую злоумышленнику удалённо выполнить код на сервере, доступном из интернета.
Проблему обнаружил старший специалист Rapid7 Джона Бёрджесс. По его данным, критическая уязвимость связана с внедрением аргументов и пока не получила CVE-идентификатор. Ошибка затрагивает актуальные версии Gogs 0.14.2 и 0.15.0+dev. Для атаки нужны права обычного зарегистрированного пользователя, администраторский доступ не требуется.
Gogs используют как самостоятельную альтернативу GitHub Enterprise и GitLab. Сервис написан на Go и часто доступен из интернета, поскольку команды работают с репозиториями удалённо. Бёрджесс предупредил, что при стандартной конфигурации Gogs разрешает открытую регистрацию и не ограничивает создание репозиториев. Поэтому атакующий может сам завести аккаунт, создать репозиторий, включить слияние с перебазированием в настройках и провести атаку без участия других пользователей.
Атака проходит через pull request с вредоносным именем ветки. Такая ветка позволяет внедрить флаг --exec в git rebase во время операции «Rebase before merging». В результате злоумышленник может выполнить произвольный код с правами процесса Gogs.
Последствия могут быть серьёзными: захват сервера, чтение всех репозиториев на площадке, включая закрытые проекты других пользователей, выгрузка хешей паролей, API-токенов, SSH-ключей и секретов двухфакторной аутентификации. Также возможны переход к другим системам внутри сети и подмена кода в размещённых репозиториях.
Rapid7 сообщила о проблеме разработчикам Gogs 17 марта. Команда проекта подтвердила получение отчёта 28 марта, но исправление пока не выпустила и не ответила на последующие запросы о статусе. Бёрджесс связывает новую ошибку с похожими уязвимостями внедрения аргументов, которые Gogs исправлял раньше, но подчёркивает, что нынешняя проблема находится в другом участке кода, связанном с Merge().
Shadowserver отслеживает более 2400 серверов Gogs, доступных из интернета. Большая часть находится в Азии, ещё несколько сотен размещены в Европе. Shodan показывает чуть больше 1000 IP-адресов с признаками Gogs.
Случай напоминает прошлую историю с CVE-2025-8110 . В начале декабря команда Gogs закрыла другую RCE-уязвимость, которую уже использовали в атаках на сотни серверов. Wiz Research выявила ту проблему при расследовании взлома Gogs-сервера, доступного из интернета, а CISA позже внесла CVE-2025-8110 в каталог активно эксплуатируемых уязвимостей и обязала федеральные гражданские ведомства США защитить свои системы.
- Источник новости
- www.securitylab.ru
