详细内容或原文请订阅后点击阅览
联邦机构被告知要修复或放弃 Gogs,因为 Gogs 是 CISA 黑名单上被利用的零日土地
攻击者数月来滥用的 Git 服务器缺陷现已引起美国网络警察的注意 在自托管 Git 服务中的一个高严重性漏洞被添加到其已知可利用漏洞 (KEV) 目录中后,CISA 已命令联邦机构停止使用 Gogs 或立即锁定它。
来源:The Register _恶意软件在自托管 Git 服务中的一个高严重性漏洞被添加到其已知可利用漏洞 (KEV) 目录中后,CISA 已命令联邦机构停止使用 Gogs 或立即锁定它。
美国网络安全机构周一将路径遍历缺陷添加到 KEV 列表中,引发了对联邦民事行政部门 (FCEB) 机构的紧急补救要求。 CISA 的公告警告称,该漏洞正在被攻击中武器化,各机构应采取缓解措施,或者在没有解决方法的情况下停止使用该产品。
“此类漏洞是恶意网络行为者的常见攻击媒介,给联邦企业带来重大风险,”CISA 在警报中表示。
该漏洞的编号为 CVE-2025-8110,由 Wiz 安全研究人员于 12 月首次曝光,他们于 7 月在调查受感染计算机上的恶意软件时偶然发现了这个未修补的漏洞。
该错误允许经过身份验证的用户绕过保护并覆盖主机系统上的任意文件,从而有效地授予远程代码执行权限。截至披露时,已有 700 多个暴露在互联网上的 Gogs 实例已被确认在持续的攻击中受到损害,超过 1,400 个服务器被发现可以在线访问。
Gogs 是用 Go 编写的,允许用户在自己的服务器或云基础设施上托管 Git 存储库,但尚未发布针对该缺陷的修复程序,这让用户只能采取权宜之计,例如禁用开放注册和屏蔽 VPN 后面的实例。 Wiz 将该漏洞描述为绕过先前修复的漏洞,并且在启用默认设置的情况下易于利用,并指出:“不幸的是,针对先前 CVE 实施的修复并未考虑符号链接。”
虽然威胁追踪者并未将这些攻击归咎于特定个人或团体,但“根据使用 Supershell C2 的威胁行为者,我们的假设是他们位于亚洲,”Wiz 研究员 Yaara Shriki 告诉 The Register。