Según nuevos hallazgos de Wiz, se estaba explotando activamente una vulnerabilidad de alto nivel sin parchear en Gogs. Se puede acceder a más de 700 instancias comprometidas a través de Internet.
El error, rastreado como CVE-2025-8110 (Puntuación CVSS: 8,7) es un caso de sobrescritura de archivos en la API de actualización de archivos del servicio Git autohospedado basado en Go. Se dice que actualmente se está trabajando en una solución al problema. La compañía dijo que descubrió accidentalmente la falla de día cero en julio de 2025 mientras investigaba una infección de malware en la computadora de un cliente.
“El manejo inadecuado de enlaces simbólicos en la API PutContents en Gogs permite la ejecución de código local”, se lee en una descripción de la vulnerabilidad en CVE.org.
La compañía de seguridad en la nube dijo que CVE-2025-8110 es una solución alternativa para una falla de ejecución remota de código previamente parcheada (CVE-2024-55947, puntuación CVSS: 8,7), que permite a un atacante escribir un archivo en cualquier ruta del servidor y obtener acceso SSH al servidor. Los pintores solucionaron CVE-2024-55947 en diciembre de 2024.
Wiz dijo que la solución introducida por Gogs para abordar CVE-2024-55947 podría solucionarse aprovechando el hecho de que Git (y por lo tanto Gogs) permite el uso de enlaces simbólicos en los repositorios de Git, y estos enlaces simbólicos pueden apuntar a archivos o directorios fuera del repositorio. Además, la API de Gogs permite modificaciones de archivos fuera del protocolo Git normal.
Por lo tanto, un atacante podría aprovechar esta falta de consideración del enlace simbólico para lograr la ejecución de código arbitrario mediante un proceso de cuatro pasos:
- Crear un repositorio Git estándar
- Transfiera un único enlace simbólico que apunte a un objetivo sensible
- Utilice la API PutContents para escribir datos en el enlace simbólico, lo que hace que el sistema siga el enlace y sobrescriba el archivo de destino fuera del repositorio.
- Anule .git/config (específicamente sshCommand) para ejecutar comandos arbitrarios
Se cree que el malware utilizado en la actividad es una carga útil basada en Supershell, un marco de comando y control (C2) de código abierto comúnmente utilizado por grupos de hackers chinos que puede establecer un shell SSH inverso en un servidor controlado por un atacante (“119.45.176(.)196”).
Wiz dijo que los atacantes detrás del exploit CVE-2025-8110 dejaron los repositorios creados (por ejemplo, “IV79VAew / Km4zoh4s”) en la carga de trabajo en la nube del cliente, aunque podrían haber tomado medidas posteriores a la infección para eliminarlos o marcarlos como privados. Esta negligencia indica una campaña de estilo “aplastar y agarrar”, afirmó.
En total, hay aproximadamente 1.400 instancias de Gogs expuestas, de las cuales más de 700 mostraron signos de compromiso, específicamente la presencia de nombres aleatorios de propietario/repositorio de ocho caracteres. Todos los repositorios identificados se crearon alrededor del 10 de julio de 2025.
“Esto sugiere que un solo actor, o posiblemente un grupo de actores que utilizan las mismas herramientas, es responsable de todas las infecciones”, dijeron los investigadores Gili Tikochinski y Yaara Shriki.
Debido a que la vulnerabilidad no se puede parchear, es importante que los usuarios deshabiliten el registro abierto, limiten la exposición a Internet y escaneen instancias en busca de repositorios con nombres aleatorios de 8 caracteres.
La revelación se produce cuando Wiz también advirtió que los actores de amenazas están apuntando a los tokens de acceso personal (PAT) de GitHub filtrados como puntos de entrada de alto valor para obtener acceso inicial a los entornos de nube de las víctimas e incluso usarlos para el movimiento lateral entre nubes desde GitHub al plano de control del proveedor de servicios en la nube (CSP).
El problema en cuestión es que un actor de amenazas con permisos de lectura básicos a través de PAT puede usar la API de búsqueda de código de GitHub para descubrir nombres secretos incrustados directamente en el código YAML de un flujo de trabajo. Para empeorar las cosas, si la PAT explotada tiene permisos de escritura, los atacantes pueden ejecutar código malicioso y eliminar rastros de sus actividades maliciosas.
“Los atacantes utilizaron PAT comprometidas para descubrir nombres de GitHub Action Secrets en el código base y los utilizaron en flujos de trabajo maliciosos recién creados para ejecutar código y obtener secretos de CSP”, dijo la investigadora Shira Ayal. “También se ha observado que los actores de amenazas filtran secretos a un punto final de webhook que controlan, omitiendo por completo los protocolos de acción”.
About The Author
