Enlaces simbólicos, el nuevo zero-day: 700 servidores de Gogs comprometidos en un ataque masivo

Actores malintencionados están explotando una nueva уязвимость de día cero en Gogs —un popular servicio Git autohospedado—, y por el momento no existe una corrección por parte de los desarrolladores. Según Wiz, en la campaña actual ya se han comprometido más de 700 instancias, y el código del atacante todavía se usa activamente.

Los especialistas afirmaron que encontraron el problema por casualidad: en julio estaban analizando una máquina infectada y notaron intentos extraños de explotación de Gogs. Durante el análisis quedó claro que el atacante empleaba un fallo hasta entonces desconocido para comprometer instancias. Informaron del hallazgo a los mantenedores de Gogs, quienes ahora trabajan en un parche, pero los ataques continúan.

La vulnerabilidad recibió el identificador CVE-2025-8110. Afecta a servidores Gogs versión 0.13.3 y anteriores si están expuestos en Internet y la opción de registro abierto de nuevos usuarios está habilitada —lo cual es el valor por defecto. En realidad se trata de una forma de eludir el parche anterior para la vulnerabilidad CVE-2024-55947, que permitía a un usuario autenticado sobrescribir archivos fuera del repositorio y así lograr ejecución remota de código. El primer problema lo descubrió el investigador Manasseh Zhou, pero, como se comprobó, la mitigación no se implementó por completo.

La principal omisión, según Wiz, fue no tener en cuenta los enlaces simbólicos al corregir la vulnerabilidad anterior. Gogs está escrito en Go y permite desplegar repositorios Git propios en su servidor o en la nube, en lugar de usar GitHub u otro proveedor. Tanto Git como Gogs admiten enlaces simbólicos —en esencia, accesos directos a otro archivo o directorio— y el enlace puede apuntar a un objeto fuera del repositorio. Además, la API de Gogs permite modificar archivos sorteando el protocolo Git habitual.

Justo la combinación de estos mecanismos condujo a la nueva falla. Según Wiz, la explotación se reduce a unos pocos pasos sencillos, accesibles a cualquier usuario que pueda crear repositorios —y esa opción está habilitada por defecto. Primero, el atacante crea un repositorio Git normal y realiza un commit con un enlace simbólico que apunta a un archivo sensible fuera del repositorio. Luego, mediante la API PutContents escribe datos en ese enlace simbólico: el sistema sigue el enlace y sobrescribe el archivo objetivo fuera del repositorio. Si de ese modo se modifica el archivo .git/config (en particular, el parámetro sshCommand), se puede forzar al sistema a ejecutar comandos arbitrarios al interactuar con el repositorio —es decir, lograr ejecución remota de código en el servidor.

En total se han detectado en Internet alrededor de 1.400 instancias de Gogs expuestas. Wiz afirma que más de 700 de ellas ya fueron comprometidas en el marco de esta campaña. En todos los servidores comprometidos se observa el mismo patrón: un nombre aleatorio de ocho caracteres para el propietario y el repositorio, creado el 10 de julio, y una carga útil que utiliza el marco de control remoto Supershell.

Quién está detrás de los ataques aún no está claro. Los investigadores no hacen una atribución directa, pero señalan que Supershell se había observado antes en campañas relacionadas con grupos asiáticos. En particular, la empresa Mandiant el año pasado describió cómo grupos de espionaje chinos explotaron una vulnerabilidad crítica en equipos de F5 con Supershell y luego vendieron acceso a redes comprometidas —entre las víctimas hubo organizaciones de defensa de EE. UU., organismos gubernamentales del Reino Unido y cientos de otras empresas.

En la serie actual de ataques los objetivos de los atacantes siguen siendo difusos. Según Wiz, en los entornos donde los investigadores observaron la infección, el malware fue eliminado rápidamente, por lo que no pudieron registrar acciones posteriores de los atacantes. Sobre otros servidores comprometidos solo saben que esos sistemas confirman la infección según indicadores.

Hasta que haya un parche, Wiz recomienda a los administradores de Gogs que adopten de inmediato medidas de mitigación. En primer lugar conviene desactivar el registro abierto si no es crítico, y también restringir el acceso a los servicios Git autohospedados, colocándolos detrás de una VPN u otro medio de acceso remoto.

Además, se recomienda a los operadores de instancias de Gogs que supervisen atentamente la aparición de nuevos repositorios con nombres aleatorios de ocho caracteres y que detecten el uso atípico de la API PutContents. Los investigadores publicaron una lista detallada de indicadores de compromiso, con la que los administradores pueden verificar sus sistemas en busca de rastros de esta campaña.