Giriş: Kendi Git Sunucunuz Size Karşı Kullanılıyor
Hafif yapısı ve kolay kurulumu nedeniyle binlerce geliştirici ve şirket tarafından tercih edilen, kendi kendine barındırılan (self-hosted) Git servisi Gogs, şu anda kapatılmamış kritik bir Sıfır Gün (0-Day) zafiyeti ile karşı karşıya.
CVE-2025-8110 koduyla izlenen bu zafiyet, saldırganların sunucu üzerinde Uzaktan Kod Yürütme (RCE) yetkisi kazanmasına olanak tanıyor. Daha da kötüsü, bu açık daha önce yamalandığı sanılan eski bir zafiyetin (CVE-2024-55947) etrafından dolaşarak (bypass) çalışıyor. Şu ana kadar dünya genelinde 700’den fazla sunucunun bu yöntemle hacklendiği ve Supershell C2 ağına dahil edildiği tespit edildi.
🔍 Zafiyetin Teknik Analizi: Sembolik Bağlantı (Symlink) Hilesi
Bu saldırı, dosya sistemindeki sembolik bağlantıların (kısayolların) kötüye kullanılmasına dayanıyor.
Saldırı Mekanizması
-
Giriş: Saldırganın sisteme erişebilmesi için “repo oluşturma” yetkisine sahip bir kullanıcı olması gerekir. Ancak Gogs sunucularında varsayılan olarak “Açık Kayıt” (Open Registration) özelliği aktif olduğu için, saldırgan kendi hesabını oluşturup bu yetkiyi anında kazanabilir.
-
Symlink Oluşturma: Saldırgan, bir depo (repository) içerisine, reponun dışındaki kritik bir sistem dosyasına (örneğin .git/config veya SSH anahtarları) işaret eden bir sembolik bağlantı (symlink) yükler.
-
PutContents API: Gogs’un dosya yükleme/düzenleme API’si olan PutContents kullanılarak bu sembolik bağlantı üzerinden veri yazılır.
-
RCE: Saldırgan, .git/config gibi yapılandırma dosyalarını manipüle ederek sunucuda kendi komutlarını çalıştırır.
Neden Düzeltilemedi?
Gogs ekibi daha önce CVE-2024-55947 ile benzer bir açığı kapatmaya çalışmıştı. Ancak CVE-2025-8110, bu koruma mekanizmasının yetersiz kaldığını ve API üzerinden yapılan isteklerde yol doğrulamasının (path validation) hala aşılabildiğini kanıtladı.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2025-8110 |
| Etkilenen Yazılım | Gogs (Self-Hosted Git Service) |
| Saldırı Türü | RCE via Symlink Path Traversal |
| Durum | YAMA YOK (Unpatched 0-Day) |
| Tespit Edilen Malware | Supershell C2 Botnet |
🛡️ Yama Yok! Ne Yapmalı? (Workaround)
Gogs geliştiricileri henüz resmi bir yama yayınlamadığı için sunucunuzu korumak tamamen sizin elinizde. Aşağıdaki adımları acilen uygulayın:
1. Açık Kaydı Kapatın (En Kritik Adım)
Saldırganın içeri girmesini engellemek için dışarıdan üye alımını durdurun.
-
Gogs yapılandırma dosyasını (custom/conf/app.ini) açın.
-
[service] bölümü altında şu ayarı yapın:
DISABLE_REGISTRATION = true
-
Servisi yeniden başlatın.
2. Erişimi Kısıtlayın
Gogs sunucunuzu genel internete (Public Internet) kapatın. Erişimi sadece bir VPN arkasından veya güvenilir IP adreslerinden (Allowlist) yapılacak şekilde yapılandırın.
3. Logları İzleyin (Threat Hunting)
Saldırıya uğrayıp uğramadığınızı anlamak için loglarınızı inceleyin:
-
8 Karakterli Repolar: Rastgele oluşturulmuş, anlamsız 8 karakterli depo isimleri (Saldırganların otomatik araçları genellikle bu formatı kullanır).
-
PutContents İstekleri: Loglarda API üzerinden PutContents fonksiyonunun şüpheli kullanımını arayın.
🔬 Araştırmacılar İçin Kaynaklar
Kendi sistemlerinizi test etmek için (yetkili olduğunuz sürece) aşağıdaki kaynakları kullanabilirsiniz:
-
Nuclei Şablonu: CVE-2025-8110.yaml (https://raw.githubusercontent.com/rxerium/CVE-2025-8110/refs/heads/main/CVE-2025-8110.yaml)
-
Proof of Concept (PoC): Blackash-CVE-2025-8110 (https://github.com/Ashwesker/Blackash-CVE-2025-8110)
-
Detaylı Analiz: Wiz.io Research (https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit)
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
