-
09/04/2020
-
141
-
1.943 bài viết
Hơn 1.100 máy chủ Gogs đối mặt nguy cơ bị chiếm quyền từ xa do lỗ hổng RCE mức độ 9,4
Các chuyên gia an ninh mạng vừa cảnh báo về một lỗ hổng bảo mật cực kỳ nghiêm trọng trong Gogs (nền tảng Git mã nguồn mở tự lưu trữ phổ biến) có thể cho phép người dùng đã đăng nhập thực thi mã từ xa và chiếm quyền điều khiển máy chủ.
Theo nghiên cứu từ Rapid7, lỗ hổng này được đánh giá ở mức 9,4/10 theo thang điểm CVSS, thuộc nhóm nguy hiểm cao nhất. Đáng chú ý, lỗi hiện chưa được gán mã CVE chính thức nhưng được đánh giá có khả năng ảnh hưởng rộng do Gogs đang được nhiều doanh nghiệp và tổ chức sử dụng để lưu trữ mã nguồn nội bộ.
Chỉ cần tài khoản thông thường cũng có thể khai thác
Các nhà nghiên cứu cho biết lỗ hổng nằm trong cơ chế xử lý tính năng "Rebase before merging" của Gogs.
Cụ thể, kẻ tấn công có thể tạo một Pull Request với tên nhánh được thiết kế đặc biệt nhằm chèn tham số độc hại vào quá trình thực thi lệnh Git rebase. Khi quá trình rebase diễn ra, tham số này có thể kích hoạt việc thực thi các lệnh tùy ý trên máy chủ Gogs. Điểm đáng lo ngại là cuộc tấn công không yêu cầu quyền quản trị hệ thống.
Trong nhiều cấu hình mặc định của Gogs, kẻ tấn công chỉ cần:
Cụ thể, kẻ tấn công có thể tạo một Pull Request với tên nhánh được thiết kế đặc biệt nhằm chèn tham số độc hại vào quá trình thực thi lệnh Git rebase. Khi quá trình rebase diễn ra, tham số này có thể kích hoạt việc thực thi các lệnh tùy ý trên máy chủ Gogs. Điểm đáng lo ngại là cuộc tấn công không yêu cầu quyền quản trị hệ thống.
Trong nhiều cấu hình mặc định của Gogs, kẻ tấn công chỉ cần:
- Đăng ký một tài khoản thông thường.
- Tạo kho mã nguồn (repository).
- Tạo Pull Request chứa nhánh độc hại.
Sau đó, lỗ hổng có thể bị khai thác để thực thi mã trên máy chủ. Trong một số trường hợp khác, chỉ cần có quyền ghi (write access) vào một repository đã bật tính năng rebase merge là đủ để thực hiện tấn công.
Nguy cơ chiếm toàn bộ máy chủ
Nếu khai thác thành công, tin tặc có thể thực thi lệnh trực tiếp trên hệ thống vận hành Gogs.
Điều này mở đường cho hàng loạt hành vi nguy hiểm như:
Điều này mở đường cho hàng loạt hành vi nguy hiểm như:
- Cài đặt mã độc hoặc ransomware.
- Đánh cắp mã nguồn nội bộ.
- Trích xuất thông tin xác thực và khóa truy cập.
- Di chuyển ngang sang các hệ thống khác trong mạng doanh nghiệp.
- Chiếm quyền kiểm soát hoàn toàn máy chủ.
Do Gogs thường được triển khai trong môi trường phát triển phần mềm nội bộ, việc máy chủ Git bị xâm nhập có thể kéo theo nguy cơ tấn công chuỗi cung ứng (Supply Chain Attack), ảnh hưởng tới toàn bộ quy trình phát triển và phân phối phần mềm của doanh nghiệp.
Hàng nghìn hệ thống có thể bị ảnh hưởng
Theo dữ liệu được Rapid7 công bố, có khoảng 1.141 phiên bản Gogs đang được công khai trên Internet và có khả năng chịu ảnh hưởng bởi lỗ hổng này.
Con số này làm dấy lên lo ngại về khả năng xuất hiện các chiến dịch quét và khai thác tự động trong thời gian ngắn sau khi thông tin kỹ thuật được công bố.
Giới chuyên gia nhận định các nền tảng Git tự lưu trữ từ lâu đã trở thành mục tiêu hấp dẫn của tin tặc vì thường chứa:
Con số này làm dấy lên lo ngại về khả năng xuất hiện các chiến dịch quét và khai thác tự động trong thời gian ngắn sau khi thông tin kỹ thuật được công bố.
Giới chuyên gia nhận định các nền tảng Git tự lưu trữ từ lâu đã trở thành mục tiêu hấp dẫn của tin tặc vì thường chứa:
- Mã nguồn độc quyền.
- Thông tin đăng nhập nội bộ.
- Token API.
- Khóa SSH.
- Thông tin hạ tầng doanh nghiệp.
Chỉ cần chiếm được một máy chủ Git, kẻ tấn công có thể mở rộng quyền truy cập sang nhiều hệ thống quan trọng khác.
Gogs liên tiếp đối mặt các vấn đề bảo mật
Đây không phải lần đầu Gogs xuất hiện trong các cảnh báo bảo mật nghiêm trọng.
Trong năm 2025, các nhà nghiên cứu từng phát hiện lỗ hổng CVE-2025-8110 cho phép thực thi mã từ xa và đã bị khai thác ngoài thực tế, dẫn đến việc hàng trăm máy chủ Gogs bị xâm nhập. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) sau đó đã đưa lỗ hổng này vào danh sách Known Exploited Vulnerabilities (KEV).
Ngoài ra, trong thời gian gần đây, nhiều lỗ hổng khác liên quan tới kiểm soát truy cập, XSS, ghi đè tệp tin và leo thang đặc quyền cũng đã được phát hiện trên Gogs.
Trong năm 2025, các nhà nghiên cứu từng phát hiện lỗ hổng CVE-2025-8110 cho phép thực thi mã từ xa và đã bị khai thác ngoài thực tế, dẫn đến việc hàng trăm máy chủ Gogs bị xâm nhập. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) sau đó đã đưa lỗ hổng này vào danh sách Known Exploited Vulnerabilities (KEV).
Ngoài ra, trong thời gian gần đây, nhiều lỗ hổng khác liên quan tới kiểm soát truy cập, XSS, ghi đè tệp tin và leo thang đặc quyền cũng đã được phát hiện trên Gogs.
Khuyến nghị bảo mật
Các tổ chức đang sử dụng Gogs nên:
- Kiểm tra ngay cấu hình tính năng rebase merge.
- Hạn chế quyền tạo repository và Pull Request đối với người dùng không cần thiết.
- Theo dõi nhật ký hệ thống để phát hiện các hoạt động bất thường.
- Áp dụng các bản vá bảo mật mới nhất ngay khi được phát hành.
- Rà soát toàn bộ máy chủ Git để phát hiện dấu hiệu xâm nhập hoặc thực thi lệnh trái phép.
Trong bối cảnh các nền tảng quản lý mã nguồn ngày càng trở thành mục tiêu của các chiến dịch tấn công chuỗi cung ứng, những lỗ hổng như trên có thể mang lại cho tin tặc quyền truy cập sâu vào hệ thống phát triển phần mềm của doanh nghiệp, tạo ra rủi ro đặc biệt nghiêm trọng nếu không được xử lý kịp thời.