Security

Gogs Tambal Celah Zero-Day Kritis yang Izinkan Eksekusi Kode Jarak Jauh (RCE)

8 minutes ago
3 minutes read

Layanan self-hosted Git terpopuler berbasis bahasa Go, Gogs, resmi merilis pembaruan keamanan darurat untuk menambal celah keamanan zero-day berkategori kritis. Celah ini dikonfirmasi dapat dieksploitasi oleh peretas untuk mengompromikan server yang terhubung ke internet, mengubah kode sumber (source code), hingga mencuri seluruh repositori data—termasuk proyek yang berstatus privat.

Kerentanan berjenis argument injection ini berdampak pada seluruh lini perilisan Gogs hingga versi 0.14.2 dan versi 0.15.0+dev. Pihak pengembang telah meluncurkan Gogs versi 0.14.3 pada 7 Juni 2026 guna menutup lubang eksploitasi tersebut.

1. Akar Masalah: Celah “Argument Injection” pada Fungsi Merge()

Celah keamanan yang ditemukan dan dilaporkan oleh Jonah Burgess, peneliti keamanan dari Rapid7, terjadi akibat kesalahan penanganan input pada struktur kode internal Gogs:

  • Kemiripan dengan Celah Lawas: Burgess menjelaskan bahwa bug terbaru ini memiliki karakteristik yang sangat mirip dengan rentetan celah argument-injection yang sempat ditambal Gogs beberapa tahun lalu (seperti CVE-2024-39933, CVE-2024-39932, CVE-2026-26194, dan CVE-2024-39930).
  • Jalur Kode yang Terlewat: Perbedaannya, eksploitasi kali ini menyerang jalur kode spesifik pada fungsi Merge() yang belum pernah tersentuh oleh perbaikan keamanan sebelumnya. Melalui jalur ini, penyerang dapat menyisipkan argumen baris perintah (command arguments) berbahaya ke dalam eksekusi sistem Git di latar belakang.

2. Rantai Eksploitasi Mandiri Tanpa Interaksi Korban

Meskipun membutuhkan status sebagai pengguna terotentikasi (authenticated attacker tanpa hak akses admin), celah ini menjadi sangat berbahaya karena konfigurasi bawaan (default) Gogs yang sangat terbuka:

[Registrasi Terbuka (Bawaan)] ──► Peretas Membuat Akun Baru Secara Bebas
                                              │
                                              ▼
[Hak Akses Pemilik Repo]     ──► Membuat Repositori Baru + Aktifkan Fitur "Rebase Merging"
                                              │
                                              ▼
[Eksekusi Fungsi Merge()]    ──► Injeksi Argumen Berbahaya ──► Kendali RCE & Root Shell
  1. Registrasi Terbuka Luas: Secara bawaan, Gogs aktif dengan fitur pendaftaran akun terbuka (DISABLE_REGISTRATION = false) dan tidak membatasi jumlah pembuatan repositori (MAX_CREATION_LIMIT = -1). Peretas asing bisa dengan mudah membuat akun baru di server target.
  2. Kendali Penuh Repositori: Setiap pengguna yang membuat repositori baru otomatis memegang hak akses admin atas repo tersebut. Dari sana, peretas hanya perlu mengaktifkan satu tombol konfigurasi pencampuran kembali (rebase merging) di menu pengaturan.
  3. Eksekusi RCE Sepihak: Rantai serangan dapat dijalankan sepenuhnya secara mandiri oleh akun peretas tersebut tanpa memerlukan interaksi, kelalaian, maupun persetujuan dari pengguna lain di dalam server.

Dampak pasca-pembobolan ini sangat masif, meliputi kemampuan membaca seluruh repositori privat lain di dalam server, pencurian kredensial, modifikasi kode sumber secara ilegal, hingga pergerakan lateral (lateral movement) untuk membobol sistem komputer lain yang berada di dalam satu jaringan lokal perusahaan.

3. Skala Ancaman dan Jejak Sejarah Sejenis

Gogs sering kali diekspos secara online oleh korporasi sebagai platform kolaborasi jarak jauh alternatif pengganti GitHub Enterprise atau GitLab. Berdasarkan data dari lembaga pengawas keamanan internet Shadowserver, saat ini terdeteksi ada lebih dari 2.300 server Gogs yang terbuka di internet, di mana mayoritas berada di wilayah Asia (1.839 server) dan Eropa (312 server). Sementara mesin pemindai Shodan mencatat ada sekitar 1.000 alamat IP aktif dengan sidik jari digital (fingerprint) Gogs.

Serangan ini mengingatkan komunitas siber pada celah zero-day maut Gogs lainnya di awal Desember 2026, yaitu CVE-2025-8110, yang sempat melumpuhkan ratusan server akibat konfigurasi pendaftaran terbuka. Begitu masifnya dampak tersebut, badan keamanan siber AS, CISA, sampai memasukkan celah tersebut ke dalam katalog kerentanan yang aktif dieksploitasi dan memerintahkan seluruh lembaga federal untuk mengamankan server mereka sebelum batas waktu Februari.

Langkah Mitigasi Darurat

Guna meminimalisir risiko eksploitasi, Rapid7 mewajibkan seluruh pengguna Gogs untuk segera melakukan upgrade ke versi 0.14.3 yang membawa perbaikan via pull request #8301.

Bagi administrator yang belum bisa melakukan pembaruan sistem secara instan, terapkan langkah-langkah mitigasi manual pada file app.ini berikut:

A. Tutup Akses Registrasi Publik

Ubah konfigurasi untuk mencegah pengguna tidak dikenal membuat akun secara mandiri di server Anda:

Ini, TOML

DISABLE_REGISTRATION = true

Ini adalah langkah mitigasi paling efektif karena memotong rantai serangan awal peretas.

B. Batasi Pembuatan Repositori Baru

Setel batas maksimal pembuatan repositori menjadi nol untuk mencegah akun non-admin membangun wadah serangan baru:

Ini, TOML

MAX_CREATION_LIMIT = 0

Catatan: Langkah ini bisa dikonfigurasi per pengguna lewat panel admin. Fitur ini menutup jalur serangan termudah, namun tidak mencegah eksploitasi jika peretas sudah memiliki hak akses tulis (write access) pada repositori yang sudah ada.

C. Audit Fitur Rebase Merge

Meskipun opsi “Rebase before merging” bisa dimatikan secara manual lewat menu Settings > Advanced di tiap repositori, langkah ini tidak efektif untuk membendung peretas yang memegang status pemilik (owner) atau admin dari repositori tersebut, karena mereka bisa mengaktifkannya kembali sewaktu-waktu.

Sumber: Laporan Investigasi Kerentanan Rapid7 / Catatan Rilis Gogs GitHub Repository

Tags
8 minutes ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button