Publié le 11 décembre 2025 à 17h09. Une vulnérabilité zero-day dans le service Git auto-hébergé Gogs a été exploitée à grande échelle, compromettant potentiellement des centaines de serveurs et exposant des référentiels de code à des acteurs malveillants à la recherche de gains financiers.
- Au moins 700 instances de Gogs ont montré des signes d’exploitation de la faille de sécurité, identifiée sous le nom de CVE-2025-8110.
- Les attaquants déploient un framework de commande et de contrôle appelé SuperCoquille pour prendre le contrôle des serveurs compromis.
- Les chercheurs recommandent de mettre à jour Gogs dès qu’un correctif sera disponible et de limiter l’accès externe aux serveurs.
Des chercheurs en cybersécurité ont mis en évidence une exploitation active d’une vulnérabilité zero-day dans Gogs, un service Git auto-hébergé écrit en langage Go. Cette faille permet à des attaquants de prendre le contrôle total des serveurs sur lesquels Gogs est installé, ouvrant la voie au vol de code source et à d’autres activités malveillantes.
L’alerte a été donnée lors de la conférence Black Hat Europe à Londres, où les chercheurs de Wiz ont présenté leurs découvertes. Ils ont révélé que sur 1 500 instances de Gogs accessibles publiquement, au moins 700 présentent des signes d’exploitation. La vulnérabilité, référencée sous le numéro CVE-2025-8110, affecte la dernière version de Gogs, publiée le 9 juin.
L’équipe de Wiz a initialement détecté l’activité suspecte après avoir enquêté sur une alerte concernant un serveur client infecté par un logiciel malveillant le 15 juillet. L’absence d’un vecteur d’attaque clair a conduit à une investigation plus approfondie, révélant une API web exposée liée à Gogs. L’analyse du serveur compromis a mis en évidence un lien symbolique vers le fichier .git/config, un indicateur potentiel d’activité malveillante.
En examinant un échantillon de 1 500 serveurs Gogs exposés, les chercheurs ont identifié un schéma commun : la création de référentiels Git avec des noms et des propriétaires inhabituels, générés aléatoirement et dans un court laps de temps. Un script Python a permis de confirmer que plus de 700 serveurs avaient été compromis par le même attaquant, le premier serveur ayant été infecté le 10 juillet.
Selon Yaara Shriki, chercheuse chez Wiz, l’un des principaux enseignements de cette enquête est l’importance d’identifier des schémas uniques pour détecter les compromissions :
« Tout modèle qui semble suffisamment unique peut être utilisé comme indicateur comportemental de compromission. »
Yaara Shriki, chercheuse chez Wiz
Une fois l’accès obtenu, les attaquants déploient SuperCoquille, un framework de commande et de contrôle open source, pour établir un shell SSH inversé. Les chercheurs suspectent que l’attaquant est motivé par des gains financiers et pourrait envisager des activités telles que la rançon ou le cryptominage.
L’attaque exploite une faille de traversée de chemin dans l’API PutContents, contournant des mesures d’atténuation précédentes identifiées sous les numéros CVE-2024-55947 et CVE-2024-54148. L’API PutContents avait été corrigée pour la traversée de chemin, mais pas pour empêcher la modification des liens symboliques.
Les chercheurs ont notifié les responsables de Gogs le 17 juillet et ont reçu un accusé de réception le 30 octobre. Le principal développeur du projet, Jiahua Chen (alias Inconnu), n’a pas encore communiqué de date précise pour la publication d’un correctif ou d’une alerte de sécurité. Cependant, l’exploitation active de la vulnérabilité se poursuit, avec une deuxième vague d’attaques signalée à partir du 1er novembre.
Les chercheurs recommandent vivement aux utilisateurs de Gogs de mettre à jour leur logiciel dès qu’une nouvelle version sera disponible. Ils suggèrent également de désactiver l’enregistrement ouvert dans Gogs et de limiter l’accès externe aux serveurs Git auto-hébergés pour réduire le risque de compromission.
L’incident souligne l’importance d’une analyse approfondie des causes profondes des incidents de sécurité.
« Nous pensons que c’est une leçon très importante à retenir : dans la plupart de ces cas, il ne suffit pas de réparer et d’oublier. Il faut vraiment savoir pourquoi quelque chose de grave s’est produit, quelle en est la cause profonde et ce qui aurait pu l’empêcher, et pas seulement de corriger et de passer à autre chose. »
Gili Tikochinski, chercheur en logiciels malveillants chez Wiz
Sur le même sujet
