駭客利用Gogs零時差漏洞入侵逾700臺伺服器

在用來管理檔案與程式碼的Git分散式版本控制系統當中，最常見的是GitHub與GitLab，不過，對於想要自行建置Git服務的企業組織而言，標榜部署容易且所需資源極低的Gogs，也相當受到歡迎，如今傳出有人針對這類平臺下手，利用零時差漏洞從事活動。

資安業者Wiz於今年7月發現，有人針對能從網際網路存取的Gogs平臺發動攻擊，駭客利用未知的漏洞達到目的。Wiz將漏洞通報給開發團隊並得到承認，登記為CVE-2025-8110列管。值得留意的是，由於目前Gogs開發工程團隊尚未提供修補程式，且攻擊活動仍在持續，Wiz呼籲，IT人員應限制Gogs伺服器的網路存取管道，若無需開放用戶自行線上註冊帳號，就應該立即停用相關功能。再者，IT人員也要清查Gogs主機，是否出現8個字元隨機名稱的儲存庫，或是API出現非預期使用的現象。

CVE-2025-8110出現在Gogs的PutContents API，原因是對於符號連結（symbolic link）不當處理引起，攻擊者一旦成功利用，就能在本機執行任意程式碼，4.0版CVSS風險為8.7分。Wiz提及，此漏洞源自另一個路徑遍歷漏洞CVE-2024-55947的變形，由於Gogs維護團隊在修補的過程並未考慮符號連結，API在寫入檔案路徑時，不會檢查是否實際指向儲存庫外部的符號連結，而讓攻擊者有機會突破修補程式的路徑驗證機制，並加以利用。

究竟攻擊者如何利用漏洞？他們事先得到能建立儲存庫的使用者權限，接著建立一個標準儲存庫，然後提交指向敏感目標的符號連結，接著，他們透過名為PutContents的API，在符號連結寫入資料，由於系統根據符號連結覆寫儲存庫外部的特定檔案，使得他們能夠執行任何命令。

針對這起事故的影響範圍，Wiz表示他們透過物聯網搜尋引擎Shodan，一共找到1,487臺曝露在網際網路上的Gogs伺服器，其中有超過700臺遭到入侵。所有遭到攻擊的伺服器都出現相同特徵：它們幾乎都在相近的時間當中，被建立以8個隨機字元命名的使用者或是儲存庫，這代表攻擊者很可能是同一個駭客組織，或是由使用相同工具的多名駭客所為。

後續Wiz找到駭客使用的惡意軟體，此平臺是用C2框架Supershell打造而成。此框架主要的功能，是建立反向SSH Shell來進行網路通訊，使得攻擊者能對受害系統遠端控制，或是執行任意程式碼。駭客利用此框架已有前例，例如，去年4月中國駭客Chaya_004鎖定製造業而來，掃描SAP NetWeaver滿分漏洞CVE-2025-31324並試圖利用，成功後於受害環境植入Supershell；中國駭客UNC5174曾試圖利用F5 BIG-IP已知漏洞CVE-2023-46747，或是ScreenConnect漏洞CVE-2024-1709，然後於受害組織部署Supershell。