Gogs Üzerinden Gelişen Sıfır Gündem Açığı
Gogs, kullanıcıların kendi kendilerine barındırabildiği popüler bir Git hizmetidir. Son zamanlarda, patchlenmemiş bir sıfır gündem açığı (CVE-2025-8110) nedeniyle hackerlar, birçok internet tabanlı Gogs örneğine uzaktan kod çalıştırma imkanı elde etmiştir. Bu durum, özellikle iş gücü değişimi ve uzaktan işbirliği uygulamalarında yaygın olarak kullanılan Gogs platformlarında ciddi güvenlik açıklarına yol açmıştır.
Açığın Nereden Kaynağlandığı
CVE-2025-8110, Gogs’un PutContents API’sinde bulunan bir yol geçişi zayıflığından kaynaklanmaktadır. Bu zayıflık, daha önce yamanmış bir uzaktan kod yürütme hatasındaki (CVE-2024-55947) korumaları aşmak için sembolik bağlantılar kullanarak dosyaların dışarıda yazılmasına olanak tanımaktadır. Gogs’un, önceki hatayı gideren sürümleri, yol adlarını doğrulasa da, sembolik bağlantıların hedefini doğrulamamaktadır.
Attack Methodology
Saldırganlar, hassas sistem dosyalarına işaret eden sembolik bağlantılar oluşturabilir ve ardından PutContents API’sını kullanarak bu bağlantılar aracılığıyla verileri yazabilir. Bu sayede Git yapılandırma dosyaları, özellikle sshCommand ayarı üzerine yazarak hedef sistemlerin keyfi komutları icra etmesine neden olabilirler.
Gogs Sunucularındaki Kompromizasyon
Wiz Araştırma, Temmuz ayında Gogs sunucularında gerçekleşen bir malware enfeksiyonunu incelerken bu açığı keşfetti. Araştırmalar sonucunda, internet üzerinde 1,400’den fazla Gogs sunucusunun açık konumda olduğu, bunlardan 700’den fazlasının ise saldırıya uğradığı tespit edilmiştir. Kompromize olmuş bir örnek, Temmuz ayında oluşturulmuş sekiz karakterlik tesadüfi adlar içeren depolara sahipti, bu da tek bir aktörün veya grubun otomatik araçlar kullanarak saldırılara katıldığını gösterdi.
Açık Kayıt ve Güvenlik Açıkları
Gözlemler, birçok Gogs sunucusunun varsayılan olarak ‘Açık Kayıt’ ayarı etkin olduğu için büyük bir saldırı yüzeyi oluşturduğunu göstermektedir. Malware analizi, saldırılar sırasında Supershell isimli bir açık kaynak komut ve kontrol (C2) framework’ü aracılığıyla geri SSH shell’leri kurarak sistemlere erişim sağlandığını ortaya koymuştur.
Savunma Stratejileri
Gogs kullanıcılarının, hemen açık kayıt varsayılan ayarını devre dışı bırakmaları ve sunucuya erişimi bir VPN veya izin listesi ile sınırlamaları önerilmektedir. Ayrıca, kullanıcıların kendi sunucularının daha önce zarar görüp görmediğini kontrol edebilmeleri için PutContents API’sının şüpheli kullanımlarını ve rastgele sekiz karakterlik isimlere sahip depoları incelemeleri gerekmektedir.
Gogs güvenliğinde bu tür açıkların önüne geçmek için güncel yamaların takip edilmesi ve sistemlerin güvenlik duvarlarının etkin bir şekilde yapılandırılmış olması önemlidir. Saldırganların hedef aldığı sistemler üzerinde alınacak önlemler, organizasyonlar için hayati önem taşımaktadır.
