Kritik Gogs Zero-Day Açığıyla 700’den Fazla Sunucu Ele Geçirildi Uzaktan Kod Çalıştırma Tespit Edildi
Kendi sunucusunda Git hizmeti sunan Gogs platformunda tespit edilen ve CVE-2025-8110 olarak izlenen sıfırıncı gün açığı, dünya genelinde internete açık 700’den fazla sunucunun ele geçirilmesine yol açtı. Uzaktan kod çalıştırmaya imkan tanıyan açık, otomatik saldırılarla kısa sürede yaygın biçimde istismar edildi.
Kendi barındırılan Git hizmetleri arasında yer alan Gogs yazılımında, CVE-2025-8110 koduyla izlenen kritik bir sıfırıncı gün güvenlik açığının aktif olarak istismar edildiği ortaya çıktı. Güvenlik araştırmacılarının tespitlerine göre, internete açık yaklaşık 1.400 Gogs sunucusunun 700’den fazlası saldırganlar tarafından ele geçirildi.
Açığın, Gogs’un PutContents API bileşeninde yer alan bir path traversal zafiyetinden kaynaklandığı belirtildi. Bu zafiyet sayesinde saldırganların, depo dizini dışına çıkarak sistem dosyalarına yazabildiği ve sonuçta tam uzaktan kod çalıştırma yetkisi elde ettiği kaydedildi.
Otomatik Saldırı Zinciri Ortaya Çıkarıldı
Analizlere göre saldırganlar, Gogs’ta varsayılan olarak açık gelen depo oluşturma özelliğini kullanarak bir depo oluşturdu. Ardından hassas sistem dosyalarına işaret eden sembolik bağlantılar içeren commit’ler yapıldı. PutContents API aracılığıyla depo dışına yazım gerçekleştiren saldırganlar, .git/config dosyasını değiştirerek sshCommand alanı üzerinden komut enjekte etti.
700’den Fazla Sunucuda Aynı İzler
Kompromize edilen tüm Gogs örneklerinde benzer kalıplar tespit edildi. Buna göre, saldırılar sırasında rastgele oluşturulmuş 8 karakterlik depo ve kullanıcı adları kullanıldı. Bu depoların büyük bölümünün 10 Temmuz tarihinde, kısa bir zaman aralığında oluşturulduğu belirlendi. Uzmanlar, bu durumun tek bir aktör ya da grup tarafından gerçekleştirilen otomatik bir saldırı kampanyasına işaret ettiğini vurguladı.
Zararlı Yazılımlar ve C2 İletişimi
Ele geçirilen sunuculara saldırı sonrasında Supershell, açık kaynaklı bir komuta-kontrol (C2) altyapısı ve ters SSH kabukları yerleştirildiği bildirildi. İncelemelerde, enfekte sistemlerin 119.45.176[.]196 adresiyle iletişim kurduğu tespit edildi.
Yöneticilere Acil Güvenlik Uyarısı
Güvenlik uzmanları, Gogs yöneticilerine açık kayıt özelliğinin derhal kapatılması, erişimin VPN veya izinli IP listeleriyle sınırlandırılması ve PutContents API kullanım kayıtlarının incelenmesi çağrısında bulundu. Ayrıca rastgele isimlendirilmiş depoların ve .git/config dosyalarının kontrol edilmesi gerektiği, resmi Gogs güvenlik güncellemelerinin yayımlanır yayımlanmaz uygulanmasının kritik önemde olduğu belirtildi.
Ajans Expres Gazetesi
Tepkiniz Nedir?
