Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Gogs‘ta etkili olan ve yüksek şiddette bir güvenlik açığını duyurdu. Bu açığın, sistemlerin güvenliğini tehdit edici boyutlara ulaşması nedeniyle önemi büyüktür.
Saldırı Nasıl Çalışıyor?
Gözlemlenen açık, CVE-2025-8110 (CVSS skoru: 8.7) koduyla izlenmektedir ve kod yürütme olasılığı barındıran bir yol geçişi (path traversal) zafiyetidir. CISA’nın uyarısına göre, bu zafiyet, PutContents API’sinde sembolik linklerin yanlış yönetiminden kaynaklanmaktadır.
Zafiyet, kullanıcının bir git deposu oluşturarak, hassas bir hedefe işaret eden sembolik bir link eklemesine ve PutContents API aracılığıyla bu linke veri yazmasına olanak sağlar. Bu işlem, işletim sisteminin sembolik linkin işaret ettiği dosyaya yönlendirilmesine ve hedef dosyanın depo dışındaki bir konumda üzerine yazılmasına sebep olur.
- İşletim sisteminin, sembolik linke işaret eden gerçek dosyaya geçiş yapması
- Git yapılandırma dosyalarının, özellikle sshCommand ayarının üzerine yazılması
Etkilenen Sistemler
Wiz, 700’den fazla bu açığı istismar eden Gogs örneği tespit etmiştir. Censys isimli saldırı yüzeyi yönetim platformuna göre, yaklaşık 1,600 internetle bağlantılı Gogs sunucusu bulunmaktadır. Bu sunucuların çoğu aşağıdaki ülkelerde yer almaktadır:
- Çin: 991
- ABD: 146
- Almanya: 98
- Hong Kong: 56
- Rusya: 49
Çözüm ve Korunma
Henüz CVE-2025-8110 açığına yönelik bir yamanın bulunmadığı bildirilmektedir. Ancak, GitHub üzerinde gerekli kod değişikliklerinin yapıldığına dair pull requestler bulunmaktadır. Çözümün hazırlanması tamamlandığında, hem gogs/gogs:latest hem de gogs/gogs:next-latest sürümlerinde bu CVE’nin düzeltilmesi beklenmektedir.
Gogs kullanıcıları için öneriler şu şekildedir:
- Açık kayıt alma ayarını devre dışı bırakın.
- Sunucu erişimini bir VPN kullanarak veya bir ‘allow-list’ ile sınırlandırın.
Federal Sivil İcra Dairesi (FCEB) kurumlarının gerekli önlemleri 2 Şubat 2026 tarihine kadar uygulaması zorunludur.
Sonuç
Gogs kullanıcılarının, sistemlerinin güvenliğini sağlamak için derhal güncellemeleri kontrol etmeleri, açık kayıt alma özelliğini devre dışı bırakmaları ve sunucu erişimlerini kısıtlamaları önerilmektedir. Ayrıca, bu zafiyetle ilgili yeni gelişmeleri takip etmek de kritik öneme sahiptir.
