Sebuah celah keamanan zero-day yang belum ditambal pada Gogs, layanan Git self-hosted populer, dimanfaatkan oleh peretas untuk mengambil alih ratusan server yang terekspos ke internet. Kerentanan ini memungkinkan eksekusi kode jarak jauh dan telah berdampak pada lebih dari 700 instance Gogs di berbagai lingkungan produksi.
Gogs sendiri ditulis menggunakan bahasa pemrograman Go dan kerap dipilih sebagai alternatif ringan untuk GitLab atau GitHub Enterprise. Karena dirancang untuk kolaborasi jarak jauh, banyak server Gogs yang diakses langsung melalui internet, sehingga menjadi target empuk bagi pelaku ancaman.
Kerentanan yang dieksploitasi dalam serangan ini terdaftar sebagai CVE-2025-8110. Masalah utamanya berasal dari kelemahan path traversal pada API PutContents. Celah ini memungkinkan penyerang melewati mekanisme perlindungan yang sebelumnya diterapkan untuk menutup bug eksekusi kode jarak jauh lain, yakni CVE-2024-55947.
Meski versi Gogs yang lebih baru telah memvalidasi nama path untuk mencegah traversal direktori, validasi tersebut tidak mencakup tujuan symbolic link. Kondisi ini dimanfaatkan penyerang dengan membuat repositori berisi symbolic link yang mengarah ke file sistem sensitif. Melalui API PutContents, data kemudian ditulis melalui symbolic link tersebut, sehingga file di luar repositori dapat ditimpa.
Dengan menargetkan file konfigurasi Git, khususnya pengaturan sshCommand, pelaku dapat memaksa sistem menjalankan perintah arbitrer sesuai keinginan mereka. Teknik ini membuka jalan bagi pengambilalihan penuh server yang terdampak.
Kerentanan ini pertama kali terungkap pada Juli lalu oleh tim Wiz Research saat menyelidiki infeksi malware pada server Gogs milik salah satu klien mereka. Dalam proses investigasi, peneliti menemukan lebih dari 1.400 server Gogs yang terekspos ke internet, dengan lebih dari separuhnya menunjukkan indikasi kompromi.
Seluruh instance yang terinfeksi memperlihatkan pola serangan yang seragam. Di antaranya adalah keberadaan repositori dengan nama acak sepanjang delapan karakter yang dibuat dalam rentang waktu yang sama. Pola ini mengindikasikan bahwa serangan dilakukan oleh satu aktor atau kelompok yang menggunakan alat otomatis.
Berdasarkan pemindaian eksternal, banyak server Gogs tersebut masih mengaktifkan fitur pendaftaran terbuka secara default. Konfigurasi ini secara signifikan memperluas permukaan serangan dan memudahkan eksploitasi massal.
Wiz Research juga menemukan bahwa malware yang disebarkan dibuat menggunakan Supershell, sebuah framework command-and-control sumber terbuka yang membangun koneksi reverse SSH melalui layanan web. Analisis lanjutan menunjukkan komunikasi malware dengan server command-and-control yang beralamat di 119.45.176[.]196.
Laporan mengenai celah keamanan ini telah disampaikan kepada pengelola Gogs pada 17 Juli. Pihak pengembang mengakui keberadaan bug tersebut pada 30 Oktober, saat patch masih dalam tahap pengembangan. Berdasarkan linimasa pengungkapan, gelombang serangan kedua terdeteksi pada 1 November.
Pengguna Gogs disarankan untuk segera menonaktifkan fitur pendaftaran terbuka dan membatasi akses server menggunakan VPN atau daftar izin IP. Untuk memastikan apakah server telah disusupi, administrator dapat memeriksa aktivitas mencurigakan pada API PutContents serta keberadaan repositori dengan nama acak delapan karakter.