Lỗ hổng trong Gogs bị khai thác trên diện rộng, hơn 700 máy chủ đã bị xâm nhập

[WhiteHat Team]

Một lỗ hổng nghiêm trọng chưa được vá trong Gogs đang bị khai thác trên diện rộng, với hơn 700 máy chủ ghi nhận dấu hiệu xâm nhập. Phát hiện này được nhóm nghiên cứu Wiz đưa ra sau khi lần theo một sự cố mã độc tưởng chừng đơn lẻ và phát hiện kẽ hở tồn tại ngay trong API xử lý file của Gogs.
​

Lỗ hổng có mã định danh CVE-2025-8110 với điểm CVSS 8,7, bắt nguồn từ việc API PutContents xử lý symbolic link không đúng chuẩn, tạo điều kiện để ghi đè tập tin và chiếm quyền thực thi mã. Nguy hiểm hơn, điểm yếu này còn cho phép bỏ qua bản vá của lỗ hổng thực thi mã từ xa CVE-2024-55947, vốn đã được xử lý cuối năm 2024. Sự kết hợp giữa symbolic link linh hoạt của Git và khả năng chỉnh sửa file qua API ngoài luồng Git đã tạo nên điểm yếu mà kẻ tấn công có thể khai thác một cách hiệu quả.

Kịch bản tấn công diễn ra theo một chuỗi thao tác khá gọn: tạo một repository thông thường, chèn symbolic link trỏ tới file nhạy cảm trên hệ thống, dùng PutContents API ghi dữ liệu để buộc hệ thống đi theo symbolic link và ghi đè tập tin thực, rồi cuối cùng chỉnh sửa trường sshCommand trong “.git/config” để thực thi lệnh tùy ý. Chỉ vài bước nhưng đủ để giành quyền kiểm soát máy chủ.

Mã độc được triển khai trong các hệ thống bị tấn công được xác định là biến thể dựa trên Supershell, công cụ C2 mã nguồn mở thường xuất hiện trong chiến dịch của các nhóm tin tặc Trung Quốc. Sau khi xâm nhập, dấu vết tấn công vẫn còn nguyên: những repository với tên ngẫu nhiên tám ký tự như “IV79VAew” hay “Km4zoh4s” xuất hiện trên workload của nạn nhân, cho thấy một chiến dịch đánh nhanh, không chú trọng che giấu.

Thống kê của Wiz cho thấy khoảng 1.400 instance Gogs đang mở trên Internet và hơn một nửa trong số đó có dấu hiệu bị can thiệp. Các repository bất thường đều được tạo cùng thời điểm vào ngày 10/7/2025, cho thấy một nhóm duy nhất hoặc một bộ công cụ chung đang được vận hành để tấn công hàng loạt.

Vì CVE-2025-8110 vẫn chưa có bản vá, các quản trị viên Gogs được khuyến cáo tắt đăng ký mở, thu hẹp phạm vi truy cập từ bên ngoài và rà soát ngay những repository có tên bất thường. Cùng lúc đó, Wiz cảnh báo một xu hướng đáng lo khác: tin tặc đang khai thác GitHub Personal Access Token (PAT) bị rò rỉ như điểm xâm nhập có giá trị cao để mở đường vào môi trường cloud của nạn nhân.

Chỉ với quyền đọc cơ bản, một Personal Access Token bị lộ đã đủ để kẻ tấn công lần ra tên các thông số mật được sử dụng trong quy trình tự động của GitHub. Nếu token đó có thêm quyền ghi, chúng có thể tự tạo quy trình độc hại, chạy mã từ xa và xóa sạch dấu vết để không ai phát hiện. Trong một số chiến dịch, các thông số mật thậm chí còn bị chuyển ngầm về máy chủ do tin tặc kiểm soát, vượt ngoài khả năng ghi nhận của hệ thống nhật ký hoạt động.

Sự kết hợp giữa lỗ hổng chưa vá và PAT bị lạm dụng tạo thành điểm rơi cực nguy hiểm và đây là lời nhắc thẳng thắn rằng đội ngũ quản trị phải siết chặt kiểm soát nếu không muốn hệ thống tự triển khai trở thành cửa mở cho kẻ tấn công.​

Theo The Hacker News​