«Ανακάλυψη ευπάθειας Gogs: Κακόβουλος κώδικας μέσω RCE»

Μια σοβαρή ευπάθεια zero-day εντοπίστηκε στο Gogs, μια δημοφιλής πλατφόρμα Git που κυριαρχεί στο χώρο της φιλοξενίας, επιτρέποντας σε οποιονδήποτε πιστοποιημένο χρήστη να εκτελεί αυθαίρετες εντολές στον διακομιστή χωρίς διαθέσιμες ενημερώσεις κώδικα τη στιγμή της ανακοίνωσης. Αυτή η ανακάλυψη έχει ιδιαίτερη σημασία για τους επαγγελματίες του κλάδου του λογισμικού και τους χρήστες της συγκεκριμένης πλατφόρμας στην Ελλάδα, καθώς εκθέτει ευαίσθητα δεδομένα και εφαρμογές σε σοβαρούς κινδύνους.

Ο ερευνητής από τη Rapid7 Labs, Jonah Burgess (CryptoCat), είναι αυτός που ανακάλυψε τη συγκεκριμένη ευπάθεια, χαρακτηρισμένη ως CWE-88, με βαθμολογία CVSSv4 9.4, που σημαίνει ότι είναι κρίσιμη. Η αδυναμία αφορά τη λειτουργία συγχώνευσης “Rebase before merge” στην τελευταία σταθερή έκδοση Gogs 0.14.2 και στην έκδοση ανάπτυξης 0.15.0+dev (commit b53d3162).

Η ευπάθεια 0-ημέρας του Gogs

Η εκμετάλλευση στοχεύει τη λειτουργία Merge() στο internal/database/pull.go, η οποία μεταβιβάζει τα ονόματα των branches απευθείας στο git rebase χωρίς κατάλληλη απολύμανση δεδομένων. Ένας επιτιθέμενος μπορεί να δημιουργήσει ένα κακόβουλο όνομα branch όπως --exec=touch${IFS}/tmp/rce_proof και στη συνέχεια να υποβάλει ένα pull request χρησιμοποιώντας αυτό το branch.

Όταν εκτελείται η συγχώνευση rebase, ο αναλυτής του Git ερμηνεύει το --exec ως σήμα αντί για όνομα branch, αναγκάζοντας τον server του Git να εκτελέσει την εντολή που υποδεικνύει ο επιτιθέμενος μέσω sh -c, γεγονός που δημιουργεί συνθήκες για αυθαίρετη εκτέλεση εντολών από το χρήστη της διαδικασίας του Gogs — συνήθως git, είτε σε Docker είτε σε άλλες εγκαταστάσεις.

Η σοβαρότητα της κατάστασης αυξάνεται εξαιτίας της εύκολης πρόσβασης των επιτιθεμένων. Ο Gogs, στην προεπιλεγμένη του ρύθμιση, επιτρέπει την ανοιχτή εγγραφή χρηστών και την απεριόριστη δημιουργία αποθετηρίων.

Αυτό σημαίνει ότι ένας εισβολέας μπορεί να δημιουργήσει έναν λογαριασμό, να δημιουργήσει ένα αποθετήριο και να ενεργοποιήσει τη διαδικασία συγχώνευσης επαναφοράς, ξεκινώντας την εκμετάλλευση χωρίς την ανάγκη αλληλεπίδρασης από άλλους χρήστες ή απαιτήσεις για διαχειριστικά δικαιώματα, εξηγεί ο Jonah Burgess.

Οι πιθανές επιπτώσεις μιας επιτυχούς εκμετάλλευσης είναι σοβαρές:

• Συμβιβασμός διακομιστή μέσω αυθαίρετης εκτέλεσης εντολών ως χρήστης της διαδικασίας Gogs.
• Παραβίαση δεδομένων μεταξύ χρηστών, που μπορεί να έχει πρόσβαση σε ιδιωτικά αποθετήρια άλλων χρηστών.
• Κλοπή διαπιστευτηρίων όπως κωδικοί πρόσβασης, διακριτικά API και κλειδιά SSH.
• Πλευρική κίνηση σε άλλα συστήματα προσβάσιμα από το δίκτυο του διακομιστή.
• Επιθέσεις εφοδιαστικής αλυσίδας τροποποιώντας κώδικα σε φιλοξενούμενα αποθετήρια.

Μέχρι στιγμής, ο Gogs έχει συγκεντρώσει περίπου 50.000 αστέρια στο GitHub και πάνω από 5.000 πιρούνια, με μια αναζήτηση στο Shodan την ώρα της δημοσίευσης να αποκαλύπτει 1.141 περιπτώσεις εγκατάστασης που είναι προσβάσιμες διαδικτυακά.

Πολύ σύντομα, δημοσιεύθηκε και μια πλήρως λειτουργική μονάδα Metasploit, κάνοντάς την εκμετάλλευση πιο εφικτή και αυτοματοποιημένη.

Οι υπεύθυνοι ασφαλείας θα πρέπει να παρακολουθούν προσεκτικά τα αρχεία καταγραφής του Gogs για αναφορές σφαλμάτων που περιέχουν μοτίβα όπως git checkout '--exec=<...>': exit status 128.

Επιπλέον, οι διαχειριστές θα πρέπει να ελέγχουν τις λίστες υποκαταστημάτων για ονόματα που αρχίζουν με -- και τις ρυθμίσεις διακριτικών χρηστών στον πίνακα /-/user/settings/applications.

Μετριασμοί

Αξιοσημείωτο είναι ότι δεν υπάρχει ακόμα ενημέρωση κώδικα από τον προμηθευτή. Ωστόσο, οι οργανισμοί πρέπει να λάβουν αμέσους μετριασμούς:

• Ρύθμιση DISABLE_REGISTRATION = true στο app.ini για να αποτραπεί η δημιουργία μη αξιόπιστων λογαριασμών.
• Ρύθμιση MAX_CREATION_LIMIT = 0 για να αποφευχθεί η δημιουργία νέων αποθετηρίων από χρήστες.
• Έλεγχος όλων των αποθετηρίων για τις ρυθμίσεις του “Rebase before merge”, ειδικά εκείνα που περιέχουν εξωτερικούς συνεργάτες.

Η Rapid7 ενημέρωσε τους συντηρητές του Gogs για αυτήν τη ευπάθεια στις 17 Μαρτίου 2026, όμως μέχρι σήμερα δεν έχει υπάρξει καμία διόρθωση.