Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hükümet kurumlarına, yüksek şiddette bir Gogs zafiyetine karşı sistemlerini güvence altına alma talimatı verdi. Bu zafiyetin, “zero-day” saldırılarda kullanıldığı belirlenmiştir.
Saldırı Nasıl Çalışıyor?
Gogs, GitLab veya GitHub Enterprise’a alternatif olarak tasarlanmış bir sistemdir ve Go dilinde yazılmıştır. Uzaktan iş birliği için genellikle çevrimiçi olarak erişilebilir. CVE-2025-8110 kodu ile takip edilen bu uzaktan kod yürütme (RCE) güvenlik açığı, PutContents API’sindeki yol geçişi (path traversal) zayıflığından kaynaklanmaktadır. Bu zafiyet, doğrulanmış saldırganların, daha önce yamalanmış bir RCE hatası olan CVE-2024-55947 için uygulanmış korumaları geçerek, sembolik bağlantılar (symbolic links) aracılığıyla repoların dışındaki dosyaları yazmasına olanak tanır.
Saldırganlar bu açığı, hassas sistem dosyalarına işaret eden sembolik bağlantıları (symlink) bulunduran repolar oluşturarak ve PutContents API’si aracılığıyla veri yazarak istismar edebilirler. Git yapılandırma dosyalarını, özellikle de sshCommand ayarını geçersiz kılarak, hedef sistemleri rastgele komutlar yürütmeye zorlayabilirler.
Etkilenen Sistemler
Wiz Araştırma, bu güvenlik açığını, Temmuz ayında bir müşterinin Internet-facing Gogs sunucusunda meydana gelen bir zararlı yazılım enfeksiyonunu araştırırken keşfetti ve 17 Temmuz’da Gogs geliştiricilerine bildirdi. Gogs, 30 Ekim’de bu bildirimi kabul etti ve CVE-2025-8110 için düzeltmeler yayımladı. Yapılan düzeltmeler, tüm dosya yazma giriş noktalarında sembolik bağlantıları tanıyan yol doğrulaması eklemektedir.
Wiz Araştırma’nın kamuya açıkladığı zaman çizelgesine göre, bu zafiyete yönelik bir ikinci saldırı dalgası 1 Kasım’da gözlemlenmiştir. Araştırmalar sonucu, çevrimiçi olarak 1.400’den fazla Gogs sunucusunun açığa çıktığı ve bunların 1.250’sinin hala açık olduğu tespit edilmiştir. Ayrıca, 700’den fazla örnekte saldırıya uğrama belirtileri bulunmuştur.
Çözüm ve Korunma
CISA, Wiz’in raporunu doğrulamış ve zafiyeti, sahada kullanılan açığa eklemiştir. Federal Sivil İcra Dairesi (FCEB) ajanslarına, 2 Şubat 2026’ya kadar bu zafiyeti yamalaması talimatı verilmiştir. FCEB ajansları, Enerji Bakanlığı, Adalet Bakanlığı, İç Güvenlik Bakanlığı ve Dışişleri Bakanlığı gibi askeri olmayan ABD icra daireleri olarak tanımlanmaktadır.
CISA, bu tür zafiyetlerin kötü niyetli siber aktörler için sıkça hedef haline geldiğini ve federal kuruluşlar için önemli riskler oluşturduğunu bildirmiştir. Şu öneriler geçerlidir:
- Üretici talimatlarına göre düzeltmeleri uygulayın.
- Bulut hizmetleri için geçerli olan BOD 22-01 yönergelerine uyun.
- Düzeltme yoksa ürünü kullanmayı durdurun.
Gogs kullanıcılarının, varsayılan açık kayıt ayarını hemen devre dışı bırakmaları ve sunucu erişimini bir VPN veya izinli liste kullanarak sınırlamaları önerilmektedir.
Ayrıca, Gogs yöneticilerinin, PutContents API’sinin şüpheli kullanımlarını kontrol etmeleri ve iki saldırı dalgası sırasında oluşturulan rastgele sekiz karakterli isimlere sahip repoları araştırmaları gerekmektedir.
Sonuç
Gogs sisteminizi güvence altına almak için derhal güncellemeler yapın ve güvenlik duvarı kurallarınızı gözden geçirin. Varsayılan açık kayıt ayarını devre dışı bırakın ve erişimi sınırlayarak saldırı yüzeyinizi azaltın. Elde ettiğiniz bilgilerle, olası saldırıların önüne geçmenizde kritik adımları atmış olursunuz.
