Home Technologie et sciencePlus de 700 instances Git auto-hébergées victimes d’attaques 0-day • The Register

Plus de 700 instances Git auto-hébergées victimes d’attaques 0-day • The Register

by Thomas Caron

Publié le 10 décembre 2025 à 21h31. Des pirates exploitent activement une vulnérabilité critique dans Gogs, une solution d’hébergement de référentiels Git, compromettant plus de 700 instances à ce jour. Un correctif n’est pas encore disponible.

  • Plus de 700 instances de Gogs ont été compromises par une attaque exploitant une faille de sécurité zero-day.
  • La vulnérabilité, référencée CVE-2025-8110, permet l’exécution de code à distance (RCE).
  • Les chercheurs de Wiz, qui ont découvert la faille, recommandent de désactiver l’enregistrement ouvert et de limiter l’exposition sur Internet.

Une vulnérabilité critique a été découverte dans Gogs, un service d’hébergement de référentiels Git auto-hébergé, permettant à des attaquants de prendre le contrôle de serveurs. Les chercheurs en sécurité de Wiz ont identifié cette faille, référencée sous le nom de CVE-2025-8110, de manière fortuite lors d’une enquête sur un logiciel malveillant. Ils ont immédiatement signalé la vulnérabilité aux responsables de Gogs, qui travaillent actuellement sur un correctif.

Selon Wiz, plus de 700 instances de Gogs ont déjà été compromises. L’exploitation de cette faille est active et en cours. « Au cours de notre analyse des tentatives d’exploitation, nous avons identifié que l’auteur de la menace exploitait une faille jusqu’alors inconnue pour compromettre les instances. Nous avons divulgué cette vulnérabilité aux responsables de manière responsable », ont déclaré Gili Tikochinski et Yaara Shriki, les chercheurs de Wiz.

La vulnérabilité CVE-2025-8110 est un contournement d’un correctif précédent (CVE-2024-55947) qui permettait déjà à des utilisateurs authentifiés d’écraser des fichiers en dehors du référentiel. La nouvelle faille exploite les liens symboliques, des pointeurs vers d’autres fichiers ou répertoires, et l’API de Gogs qui permet la modification de fichiers en dehors du protocole Git standard. Selon Wiz, l’exploitation est relativement simple et ne nécessite que des autorisations de création de référentiel, qui sont activées par défaut.

Le processus d’attaque se déroule en quatre étapes : création d’un référentiel Git standard, ajout d’un lien symbolique pointant vers une cible sensible, écriture de données sur ce lien symbolique (ce qui écrase le fichier cible), et enfin, écrasement du fichier .git/config pour forcer l’exécution de commandes arbitraires.

Parmi les environ 1 400 instances de Gogs exposées sur Internet, Wiz a confirmé que plus de 700 ont été infectées, reconnaissables par la création de référentiels avec des noms aléatoires à huit caractères le 10 juillet et l’utilisation de la charge utile Supershell, un cadre de commande et de contrôle à distance. Les chercheurs estiment que les attaquants sont probablement basés en Asie, en se basant sur l’utilisation de Supershell.

Cette attaque rappelle des incidents antérieurs, notamment l’exploitation par des espions chinois d’une vulnérabilité critique dans F5 via Supershell, documentée par Mandiant, filiale de Google (Wiz sera prochainement acquise par Google). Cette exploitation avait permis de vendre l’accès à des organisations de défense américaines et à des agences gouvernementales britanniques.

Pour l’instant, les motivations des attaquants restent inconnues. « Dans les environnements où nous avons une visibilité, le malware a été supprimé rapidement, nous n’avons donc constaté aucune activité post-exploitation », a déclaré Yaara Shriki. « Nous n’avons aucune visibilité sur les autres serveurs compromis, au-delà du fait de savoir qu’ils sont compromis. »

Wiz recommande de désactiver immédiatement l’enregistrement ouvert si celui-ci n’est pas nécessaire et de limiter l’exposition des services Git auto-hébergés en les plaçant derrière un réseau privé virtuel (VPN). Il est également conseillé de surveiller la création de nouveaux référentiels avec des noms aléatoires à huit caractères et toute utilisation inattendue de l’API PutContents. Les chercheurs ont publié une liste complète d’indicateurs de compromission pour aider à la détection. Gogs, écrit en langage Go, permet aux utilisateurs d’héberger leurs propres référentiels Git, offrant une alternative à des plateformes comme GitHub.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.