Der leichtgewichtige Git-Hosting-Dienst Gogs, eine weit verbreitete Self-Hosted-Alternative zu GitLab und GitHub Enterprise, steht im Mittelpunkt einer gross angelegten Angriffskampagne. Eine neue 0‑Day‑Schwachstelle mit der Kennung CVE-2025-8110 ermoeglicht Remote Code Execution (RCE) und wurde bereits genutzt, um Hunderte von Gogs-Instanzen weltweit zu kompromittieren.
CVE-2025-8110 in Gogs: Path-Traversal-Fehler im API-Endpunkt PutContents
Die Sicherheitsluecke CVE-2025-8110 basiert auf einem Path Traversal im Gogs‑API-Endpunkt PutContents. Dieser Endpunkt dient dazu, Dateien in Repositories per API zu erstellen oder zu aktualisieren. Durch fehlerhafte Pfadvalidierung gelingt es Angreifern, Schreiboperationen ausserhalb des vorgesehenen Repository-Verzeichnisses auszufuehren – ein klassisches Muster fuer Directory Traversal-Angriffe, wie es auch in den OWASP Top 10 beschrieben wird.
Besonders kritisch: Die Schwachstelle umgeht Schutzmechanismen, die zuvor zur Behebung einer anderen RCE-Luecke in Gogs eingefuehrt wurden (CVE-2024-55947). Obwohl zusaetzliche Pfadpruefungen integriert wurden, blieb ein entscheidender Sonderfall unberuecksichtigt – der Umgang mit symbolischen Links.
Angriff ueber Symlinks: Wie der Patch fuer CVE-2024-55947 umgangen wird
Der Kern des Exploits liegt in der unzureichenden Behandlung von symbolischen Links (Symlinks). Angreifer koennen ein Repository anlegen, in dem sich Symlinks befinden, die auf Dateien ausserhalb der eigentlichen Repository-Struktur verweisen – etwa in System- oder Konfigurationsverzeichnisse, auf die der Gogs-Prozess Schreibrechte besitzt.
Wird anschliessend das API PutContents aufgerufen, validiert Gogs zwar den scheinbaren Pfad innerhalb des Repositories. Da die Validierung jedoch nicht aufgeloeste Symlinks beruecksichtigt, landet der Schreibvorgang effektiv am Ziel des Symlinks. Auf diese Weise lassen sich Dateien ausserhalb des Repositories ueberschreiben, ohne dass dies durch die Schutzlogik erkannt wird.
Ein besonders wirkungsvoller Angriffsvektor ist die Manipulation von Git-Konfigurationsdateien. Durch das Ueberschreiben des Parameters sshCommand in Git-Konfigurationen koennen Angreifer dafuer sorgen, dass bei bestimmten Git-Operationen beliebige Systembefehle ausgefuehrt werden. Damit wird aus einer vermeintlichen Dateischreibschwachstelle eine vollwertige Remote Code Execution-Faehigkeit auf dem Gogs-Server.
Umfang der Gogs-Angriffe und Einsatz des Supershell-C2-Frameworks
Mehr als 700 kompromittierte selbst gehostete Gogs-Server
Laut Analysen des Cloud-Sicherheitsunternehmens Wiz wurde CVE-2025-8110 im Juli 2025 im Rahmen einer Incident Response auf einem Kundenserver entdeckt. Ein anschliessender Internet-Scan identifizierte ueber 1400 oeffentlich erreichbare Gogs-Instanzen, von denen mehr als 700 Anzeichen einer erfolgreichen Kompromittierung aufwiesen.
Typisches Artefakt der Kampagne sind Repositories mit zufaelligen, achtstelligen Namen, die in kurzer zeitlicher Abfolge im Juli 2025 angelegt wurden. Dieses einheitliche Muster deutet auf eine weitgehend automatisierte Angriffskette hin, bei der ein einzelner Akteur oder eine organisierte Gruppe systematisch nach verwundbaren Gogs-Servern sucht und Exploits massenhaft ausrollt.
Ein wesentlicher Verstaarker des Risikos ist die standardmaessig haeufig aktivierte Option Open Registration. Ist sie eingeschaltet, koennen sich beliebige Benutzer selbst registrieren, neue Repositories anlegen und anschliessend die Schwachstelle ausnutzen – ganz ohne privilegierte Zugriffe. Damit vergroessert sich die Angriffsoberflaeche erheblich, insbesondere bei direkt aus dem Internet erreichbaren Instanzen.
Supershell-basierte Malware und zentrale C2-Infrastruktur
Auf kompromittierten Systemen stellten die Forscher Malware fest, die auf dem Open-Source-C2-Framework Supershell basiert. Supershell wurde zunaechst fuer legitime Zwecke wie Remote-Administration und Penetrationstests entwickelt, kann aber – wie viele Dual-Use-Werkzeuge – problemlos in Angriffsoperationen integriert werden.
Die Angreifer nutzen Supershell, um Reverse-SSH-Shells ueber Webdienste aufzubauen und so einen stabilen Fernzugriff auf die betroffenen Server zu etablieren. Netzwerkanalysen zeigen Verbindungen zu einem Command-and-Control-Server unter der Adresse 119.45.176[.]196. Solche zentralisierten C2-Strukturen sind typisch fuer laenger andauernde Kampagnen, bei denen Angreifer persistente Zugriffe, laterale Bewegung und Nachladen weiterer Tools planen – ein Vorgehen, das auch im MITRE ATT&CK-Framework detailliert beschrieben ist.
Risiken fuer Organisationen und konkrete Schutzmassnahmen fuer Gogs
Sofortmassnahmen: Konfiguration haerten und Angriffsoberflaeche reduzieren
Die Maintainer von Gogs wurden laut Wiz am 17. Juli 2025 ueber CVE-2025-8110 informiert; die Bestaetigung erfolgte am 30. Oktober. Eine zweite Angriffswelle ab dem 1. November 2025 setzte jedoch ein, bevor ein offizieller Patch veroeffentlicht wurde. Administratoren muessen daher auf kompensierende Massnahmen setzen, bis eine gehärtete Version bereitsteht.
Empfohlene Schritte in Anlehnung an Best Practices von CISA und OWASP:
1. Open Registration deaktivieren. Wo immer moeglich, sollte die oeffentliche Selbstregistrierung ausgeschaltet und auf manuelle Nutzeranlage oder vertrauenswuerdige SSO/LDAP-Anbindung umgestellt werden.
2. Netzwerkzugriff strikt begrenzen. Gogs sollte bevorzugt nur intern oder ueber VPN bzw. Zero-Trust-Loesungen erreichbar sein. Direkter Internetzugriff, insbesondere auf Administrationsoberflaechen, ist zu minimieren.
3. Rechte und Dateisystem haerten. Der Gogs-Dienst sollte unter einem dedizierten Systemkonto mit minimalen Rechten laufen. Schreibrechte ausserhalb der Repository-Verzeichnisse sind so weit wie moeglich zu unterbinden, etwa durch chroot-Aehnliche Konzepte oder Container-Isolation.
Indikatoren einer Kompromittierung und kontinuierliches Monitoring
Organisationen sollten ihre Gogs-Umgebungen gezielt auf Indicators of Compromise (IoCs) ueberpruefen. Dazu gehoeren insbesondere:
- Analyse der Server-Logs auf ungewoehnliche oder massenhafte Aufrufe des API-Endpunkts PutContents.
- Suche nach Repositories mit zufaelligen achtstelligen Namen, die innerhalb kurzer Zeit angelegt wurden.
- Pruefung von Git-Konfigurationsdateien (insbesondere des Parameters sshCommand) auf unerklaerliche Aenderungen.
- Ueberwachung ausgehender Verbindungen, insbesondere von SSH- und HTTP(S)-Traffic zu unbekannten Hosts wie 119.45.176[.]196.
Wo verfuegbar, sollten Security Information and Event Management (SIEM), Intrusion-Detection-Systeme und Endpoint-Security-Loesungen so konfiguriert werden, dass sie Anomalien auf Entwicklungs- und Versionskontrollsystemen explizit erfassen. Gerade Entwicklerplattformen werden in vielen Unternehmen noch immer als rein interne Werkzeuge betrachtet und sind entsprechend unzureichend ueberwacht.
Die aktuelle Kampagne um CVE-2025-8110 in Gogs fuehrt vor Augen, dass Systeme zur Versionsverwaltung zu den kritischsten Komponenten moderner Softwarelieferketten gehoeren. Wer Gogs oder vergleichbare Self-Hosted-Git-Loesungen einsetzt, sollte jetzt seine Exponierung zum Internet ueberpruefen, ein strukturiertes Bedrohungsmodell fuer die Entwicklungsinfrastruktur erstellen und grundlegende Sicherheitsmassnahmen wie Netzwerksegmentierung, Minimierung von Standardfunktionen, zeitnahe Updates und permanentes Monitoring etablieren. Organisationen, die diese Prinzipien fruehzeitig verankern, reduzieren das Risiko erheblich, bei der naechsten 0‑Day‑Welle zum Einfallstor fuer weiterreichende Angriffe auf ihre gesamte IT- und DevOps-Landschaft zu werden.
