heise PlusAbo
Alert!

Jetzt handeln! Angreifer haben seit Monaten Gogs-Server im Visier

Neben Sicherheitsforschern warnt nun auch eine US-Sicherheitsbehörde vor Attacken auf Self-hosted-Git-Service-Server auf Basis von Gogs.

vorlesen Druckansicht
Eine Person hält ein mobiles Endgerät, über das ein Achtung-Zeichen retouchiert ist, in ihrer rechten Hand, während sie ihre linke Hand abweisend in die Kamera hält.

(Bild: Andrii Yalanskyi/Shutterstock)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Admins, die mit Gogs Git-Service-Server selbst hosten, sollten die Software umgehend ĂĽber einen Workaround vor Attacken schĂĽtzen. Ein Sicherheitsupdate ist bislang nicht verfĂĽgbar. Angreifer nutzen die Schadcode-SicherheitslĂĽcke schon seit Juli vergangenen Jahres aus.

Auch hierzulande gibt es verwundbare Server. Nun hat sich die US-Sicherheitsbehörde CISA eingeschaltet und bestätigt die Attacken.

Wie aus einem Beitrag von Wiz-Sicherheitsforschern aus dem Dezember vergangenen Jahres hervorgeht, haben sie bereits im Juli 2025 erste Attacken beobachtet. Im November gab es ihnen zufolge dann eine zweite Angriffswelle. Im Dezember sprachen sie von weltweit mehr als 1400 öffentlich über das Internet erreichbare Instanzen. Davon sollen mehr als 700 bereits über die Lücke (CVE-2025-8110 „hoch“) attackiert worden sein.

In welchem Umfang die Attacken ablaufen und wann ein Sicherheitsupdate kommt, ist bislang unklar. In ihrem Beitrag führen die Forscher aus, an welchen Parametern Admins bereits attackierte Instanzen erkennen können. Darunter fallen etwa IP-Adressen der Payload-Server.

Attacken sind aber nur für authentifizierte Angreifer möglich. Das ist allerdings keine allzu große Hürde: Standardmäßig ist die Registrierung auf Gogs-Servern nämlich aktiv. Ist das gegeben und die Instanz öffentlich über das Internet erreichbar, sind Attacken möglich.

Im Anschluss umgehen Angreifer den Schutz einer eigentlich geschlossenen Lücke (CVE-2024-55947) und überschreiben mittels eines Symlink-Angriffs Dateien, um anschließend Schadcode auszuführen. Wie das im Detail abläuft, führen die Sicherheitsforscher in ihrem Beitrag aus.

Videos by heise

Bislang ist unklar, wann ein Sicherheitspatch erscheint. Um Attacken einzudämmen, müssen Admins die Registrierung abschalten und den Zugriff auf Gogs-Server per VPN auf vertrauenswürdige IP-Adressen einschränken.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten