El servicio de alojamiento de repositorios Git autogestionado Gogs, desarrollado en Go y muy utilizado como alternativa ligera a GitLab y GitHub Enterprise, se encuentra en el centro de una campaña de ciberataques a gran escala. Investigadores han identificado la vulnerabilidad de día cero CVE-2025-8110, que permite ejecución remota de código (RCE) y ya ha sido explotada para comprometer cientos de instancias en todo el mundo.
Vulnerabilidad crítica CVE-2025-8110 en Gogs: origen y mecanismo de explotación
La vulnerabilidad CVE-2025-8110 está asociada a un fallo de path traversal en el API PutContents de Gogs. El path traversal es una técnica que aprovecha un control insuficiente de rutas de archivos para acceder a ubicaciones fuera del directorio previsto, lo que permite leer o sobrescribir ficheros del sistema que deberían estar protegidos.
En este caso, el fallo no surge de cero, sino como bypass de las mitigaciones aplicadas para corregir la vulnerabilidad previa CVE-2024-55947. Tras ese primer incidente, se introdujeron controles para evitar saltos de directorio (por ejemplo, mediante el uso de “../”). Sin embargo, el análisis reciente ha demostrado que dichas comprobaciones no contemplan adecuadamente el uso de enlaces simbólicos (symlinks).
Abuso de symlinks para sobrescribir archivos fuera del repositorio
El atacante puede crear un repositorio que contenga symlinks apuntando a archivos sensibles del sistema situados fuera del directorio del propio repositorio. Posteriormente, mediante el API PutContents, envía contenido aparentemente destinado a un fichero legítimo del repositorio. En la práctica, el sistema escribe esos datos en el destino real del symlink, es decir, en un archivo del sistema donde el proceso de Gogs tiene permisos de escritura.
El vector más crítico descrito por los investigadores consiste en la modificación de archivos de configuración de Git, en particular el parámetro sshCommand. Al manipular esta opción, el atacante puede forzar la ejecución de comandos arbitrarios cada vez que se dispare una operación Git específica, obteniendo con ello ejecución remota de código en el servidor Gogs con los privilegios del servicio.
Alcance de la campaña: más de 700 instancias Gogs comprometidas
Instancias expuestas en Internet y patrón de compromiso
Según el análisis de la firma Wiz, la vulnerabilidad CVE-2025-8110 se identificó inicialmente en julio de 2025 durante la investigación de actividad maliciosa en un servidor Gogs de un cliente. A partir de ahí, un escaneo de Internet reveló alrededor de 1400 instancias de Gogs expuestas públicamente, de las cuales más de 700 presentaban indicios claros de compromiso.
Los servidores afectados comparten un artefacto común: repositorios con nombres aleatorios de ocho caracteres, creados en un intervalo de tiempo muy reducido (julio de 2025). Este patrón homogéneo sugiere una campaña coordinada por un único actor o por un grupo organizado que recurre a herramientas automatizadas de escaneo y explotación para ampliar rápidamente su superficie de control.
Un factor que incrementa notablemente el riesgo es la configuración “Open Registration”, habilitada por defecto en muchas instalaciones de Gogs. Con el registro abierto, cualquier usuario puede crear una cuenta, generar un repositorio y, a continuación, explotar CVE-2025-8110 sin necesidad de acceder previamente a credenciales administrativas, lo que aumenta de forma drástica la superficie de ataque.
Uso de Supershell C2 y control remoto de los servidores Gogs
El malware desplegado en los servidores comprometidos se basa en el framework de mando y control (C2) de código abierto Supershell. Esta plataforma permite establecer reverse shells sobre SSH a través de servicios web, proporcionando a los atacantes un canal cómodo y persistente para la administración remota de los sistemas comprometidos.
El análisis del tráfico de red muestra que las infecciones se conectan a un servidor de control en la dirección 119.45.176[.]196. Este tipo de infraestructura centralizada de C2 es habitual tanto en campañas masivas como en operaciones dirigidas, y facilita a los atacantes mantener acceso prolongado, desplegar herramientas adicionales y moverse lateralmente hacia otros activos críticos del entorno de desarrollo y CI/CD.
Medidas de mitigación para administradores de Gogs: pasos prioritarios
Los investigadores notificaron la vulnerabilidad CVE-2025-8110 a los mantenedores de Gogs el 17 de julio de 2025. El 30 de octubre, el equipo del proyecto confirmó el problema y comunicó que estaba trabajando en un parche. No obstante, según la cronología publicada, una segunda ola de ataques comenzó el 1 de noviembre de 2025, antes de que existiera una corrección oficial, lo que obliga a aplicar medidas compensatorias de inmediato.
Acciones recomendadas para propietarios de instancias Gogs:
- Desactivar el registro abierto (Open Registration) si no es estrictamente necesario para el negocio. Optar por cuentas gestionadas manualmente o integradas con SSO/LDAP de confianza.
- Restringir la exposición en red: limitar el acceso de Gogs a la red interna, VPN o soluciones de Zero Trust, y minimizar el acceso público a interfaces administrativas.
- Buscar indicadores de compromiso:
- Revisar los registros de acceso al API PutContents en busca de patrones anómalos.
- Identificar repositorios con nombres aleatorios de ocho caracteres creados en ventanas de tiempo inusualmente cortas.
- Auditar los ficheros de configuración de Git, en especial el parámetro sshCommand, para detectar cambios no autorizados.
- Monitorizar conexiones salientes SSH y tráfico HTTP(S) hacia dominios o IP desconocidas, incluyendo 119.45.176[.]196.
- Planificar la actualización inmediata a la versión corregida en cuanto esté disponible y establecer auditorías periódicas de configuración y permisos, aplicando el principio de mínimo privilegio y desactivando funciones innecesarias por defecto.
Los incidentes asociados a CVE-2025-8110 ponen de relieve el papel crítico que desempeñan las plataformas de control de versiones en la cadena de desarrollo de software. Proteger instancias de Gogs y otras soluciones Git autogestionadas implica revisar la exposición a Internet, segmentar de forma estricta las redes, actualizar con rapidez y mantener una supervisión continua de la actividad anómala. Adoptar estas prácticas de ciberhigiene de manera sistemática reduce de forma significativa la probabilidad de que la próxima vulnerabilidad de día cero se convierta en una puerta de entrada sostenida a la infraestructura de desarrollo de la organización.
