Giriş
Gogs, kendi kendine barındırılan bir Git hizmeti olarak, uzaktan kod yürütme (RCE) için bir sıfır-gün açığına sahip. Bu açık, saldırganların internetten erişilebilen Gogs örneklerinde uzaktan kötü amaçlı kod çalıştırmasına olanak tanıyor.
Saldırı Nasıl Çalışıyor?
Gogs, GitHub Enterprise veya GitLab’a alternatif olarak tasarlanmış ve Go dilinde geliştirilmiştir. Açık, en son sürümler olan Gogs 0.14.2 ve 0.15.0+dev sürümlerinde etkili olup, henüz bir CVE kimliği almamıştır. Saldırganların, yalnızca kimlik doğrulaması yapılmış kullanıcı ayrıcalıkları ile bu açığı kullanabileceği belirtiliyor. Ancak, bu durum, bazı zorunlu yapılandırmaların eksik olduğu varsayıldığında oldukça tehlikeli hale gelebiliyor.
Açığın kritik bir argument injection güvenlik hatası olduğunu belirten Rapid7 araştırmacısı Jonah Burges, Gogs’ın varsayılan yapılandırmalarla çalışan tüm sunucuların bu güvenlik açığından etkilendiğini vurguladı. Ücretsiz kayıt (DISABLE_REGISTRATION = false) ve sınırsız depo oluşturma (MAX_CREATION_LIMIT = -1) izinleri, saldırganların kolayca hesap ve depo oluşturmasına olanak tanıyor.
Başarılı bir saldırı, saldırganlara Gogs sunucusu üzerinde, kötü niyetli bir dal adı kullanarak “—exe”c bayrağını git yeniden birleştirme (rebase) işlemi sırasında enjekte etme imkanı sağlıyor. Bu işlem sonucunda, saldırganlar sunucuya erişebilir, tüm depoları okuyabilir ve diğer kullanıcıların gizli bilgilerini ele geçirebilir.
Etkilenen Sistemler
An itibarıyla, internet üzerinde 2,400’den fazla Gogs sunucusu tespit edilmiştir. Bunların çoğu Asya (1,894) ve Avrupa (319) bölgelerinde bulunmaktadır. Gogs’ın parmak izine sahip 1,000’den fazla IP adresi Shodan tarayıcısı tarafından tespit edilmiştir.
Bu durum, özellikle varsayılan açık kayıt ayarıyla çalışan sunucular için büyük bir risk teşkil etmektedir. Yine de, benzer güvenlik açıkları arasında CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 ve CVE-2024-39930 daha önce düzeltilmişken, bu yeni açık farklı bir kod yolunu etkilediği için henüz kapatılmamıştır.
Çözüm ve Korunma
Gogs’ın güvenlik ekibi, CVE-2025-8110 olarak adlandırılan başka bir RCE açığını düzeltmek için çalışmış ve bunun sonucunda yüzlerce sunucu etkilenmiştir. Ancak, mevcut açık hakkında henüz bir yamanın çıkmaması, kullanıcıları endişeye sevk etmektedir. Gogs bakım ekipleri, açığı bildiren araştırmacıyı 17 Mart’ta bilgilendirmiş, ancak o tarihten bu yana bir yanıt vermemişlerdir.
Kullanıcıların bu durumda uygulaması gerekenler:
- Gogs sunucunuzu güncelleyin! Yeni güncelleme çıktığında hemen uygulayın.
- Varsayılan yapılandırmaları kontrol edin! Açık kayıtların kapalı olup olmadığını ve depo oluşturma sınırlamalarını gözden geçirin.
- Gogs sunucunuzu denetim altına alın! Erişim izinlerini ve kullanıcı kayıt süreçlerini sıkı bir şekilde yönetin.
Unutmayın, güvenlik açıklarından korunmak için sürekli dikkatli olmalısınız.
