Celah Keamanan Zero-Day Baru Gogs: Peretas Bisa Eksekusi Kode Jarak Jauh (RCE) via Fitur Git Rebase

Ditemukan sebuah celah keamanan zero-day kritis yang belum mendapatkan perbaikan (unpatched) pada layanan repositori Git mandiri, Gogs. Kerentanan ini memungkinkan penyerang eksternal untuk mendapatkan akses eksekusi kode jarak jauh (Remote Code Execution / RCE) pada server Gogs yang terhubung langsung ke internet.

Gogs, yang dibangun menggunakan bahasa pemrograman Go, populer digunakan oleh berbagai organisasi sebagai alternatif mandiri (self-hosted) untuk GitHub Enterprise atau GitLab demi mendukung kolaborasi jarak jauh. Namun, celah baru ini membuka pintu masuk berbahaya bagi aktor ancaman siber untuk menguasai server secara penuh.

Modus Eksploitasi: Memanfaatkan Fitur “Open Registration” Bawaan

Celah keamanan yang dikategorikan berisiko tinggi (critical severity) ini masuk dalam jenis Argument Injection. Kerentanan tersebut ditemukan oleh Jonah Burgess, seorang peneliti keamanan senior di firma keamanan Rapid7.

Meskipun eksploitasi ini membutuhkan hak akses pengguna terdaftar (authenticated user), Burgess memperingatkan bahwa celah ini berdampak pada seluruh server Gogs yang berjalan dengan konfigurasi standar (default) karena faktor berikut:

• Pendaftaran Akun Terbuka Secara Bawaan: Secara standar, Gogs dikirimkan ke konsumen dengan fitur pendaftaran akun terbuka secara bebas (DISABLE_REGISTRATION = false).
• Tanpa Batasan Repositori: Konfigurasi bawaan tidak membatasi jumlah pembuatan repositori baru (MAX_CREATION_LIMIT = -1).
• Otomatisasi Hak Milik: Penyerang yang tidak memiliki hak akses admin (unauthenticated) cukup mendaftarkan akun baru, membuat repositori mandiri, dan mereka secara otomatis akan bertindak sebagai pemilik (owner) penuh atas repositori tersebut.

Dari titik tersebut, penyerang hanya perlu mengaktifkan satu tombol opsi rebase merging di menu pengaturan, dan seluruh rangkaian rantai eksploitasi (exploit chain) dapat dijalankan secara mandiri tanpa memerlukan interaksi atau persetujuan dari pengguna lain di dalam server.

Dampak Serangan: Injeksi Flag --exec pada Proses Merging

Teknis serangan terjadi ketika pengguna terdaftar mengirimkan sebuah Pull Request (PR) yang menggunakan nama cabang (branch name) berbahaya yang telah dimodifikasi. Nama cabang korup tersebut dirancang untuk menyuntikkan perintah atau flag tambahan --exec ke dalam instruksi internal git rebase saat sistem menjalankan operasi penggabungan kode bertajuk “Rebase before merging”.

Begitu kode berbahaya tersebut dieksekusi oleh server, penyerang akan mendapatkan hak akses sistem setingkat dengan pengguna operasional proses server Gogs tersebut. Dampak kerusakan susulan yang dapat ditimbulkan meliputi:

1. Kompromi Server Penuh: Mengendalikan sistem operasi server dari jarak jauh.
2. Pencurian Kode Sumber: Membaca dan mengunduh seluruh repositori yang ada di dalam server, termasuk proyek kode privat milik pengguna lain.
3. Pencurian Kredensial Medis: Melakukan dumping data sensitif seperti enkripsi kata sandi (password hashes), token API, kunci SSH, hingga rahasia otentikasi dua faktor (2FA secrets).
4. Pergerakan Lateral (Pivot): Menjadikan server Gogs sebagai batu loncatan untuk menyerang sistem komputer lain yang berada di dalam jaringan internal yang sama.
5. Sabotase Kode: Mengubah isi kode sumber pada repositori yang di-host untuk menyisipkan backdoor atau malware ke dalam siklus produksi perangkat lunak (supply chain attack).

Celah ini dilaporkan mirip dengan rentetan kerentanan argument injection terdahulu pada Gogs (seperti CVE-2024-39933, CVE-2024-39932, CVE-2026-26194, dan CVE-2024-39930), namun kali ini menyerang jalur kode berbeda, yakni pada fungsi Merge(), yang selama ini luput dari perbaikan keamanan.

Status Patch dan Potensi Ancaman Global

Hingga informasi ini diturunkan, celah zero-day kritis ini belum memiliki nomor identifikasi CVE resmi dan belum memiliki patch perbaikan. Peneliti Rapid7 telah melaporkan temuan ini kepada tim pengembang Gogs sejak 17 Maret, dan sempat mendapatkan konfirmasi penerimaan laporan pada 28 Maret. Namun, pihak pengembang belum memberikan respons lanjutan terkait status pembaruan kode. Celah ini dipastikan berdampak pada versi rilis terbaru saat ini, yaitu Gogs 0.14.2 dan versi pengembangan Gogs 0.15.0+dev.

Berdasarkan data pemantauan dari lembaga pengawas internet Shadowserver, saat ini terdeteksi ada lebih dari 2.400 server Gogs yang terekspos secara terbuka di internet di mana mayoritas lokasinya berada di Asia (1.894 server) dan Eropa (319 server). Sementara mesin pencari perangkat siber Shodan mendeteksi sekitar 1.000 alamat IP yang memiliki rekam sidik jari (fingerprint) aktif Gogs.

Kondisi ini diperparah mengingat pada awal Desember lalu, Gogs juga baru saja menambal celah RCE lain (CVE-2025-8110) yang sempat dieksploitasi secara aktif di alam liar untuk membobol ratusan server perusahaan. Mengingat pola serangan serupa kini kembali mengancam, para administrator server yang menggunakan Gogs sangat disarankan untuk mengambil langkah mitigasi mandiri sesegera mungkin.

Langkah Mitigasi Darurat Bagi Administrator Gogs

Karena belum tersedia patch resmi dari pengembang, para administrator jaringan diwajibkan melakukan pengamanan manual berikut pada file konfigurasi Gogs mereka (app.ini):

1. Matikan Fitur Pendaftaran Terbuka: Ubah konfigurasi menjadi DISABLE_REGISTRATION = true untuk mencegah aktor luar membuat akun baru secara ilegal.
2. Batasi Pembuatan Repositori: Atur parameter MAX_CREATION_LIMIT ke angka 0 atau batasi hanya untuk pengguna tepercaya yang diverifikasi oleh admin.
3. Nonaktifkan Opsi Rebase Merging: Untuk sementara waktu, matikan opsi penggabungan berbasis rebase pada tingkat repositori dan gunakan metode Merge Commit konvensional hingga perbaikan resmi dirilis.
4. Terapkan Pembatasan Akses Jaringan: Tempatkan server Gogs di belakang jaringan VPN internal atau batasi akses IP (IP Whitelisting) menggunakan Firewall untuk mencegah paparan langsung dari internet publik.

Sumber: Rapid7 / CISA / Shadowserver