Zero-day crítico en Gogs expone servidores a ataques RCE

Una peligrosa vulnerabilidad zero-day sin parche en Gogs, la popular plataforma Git autoalojada escrita en Go, está generando preocupación entre expertos en ciberseguridad debido a su potencial para permitir ejecución remota de código (RCE) en servidores expuestos a Internet.

El fallo de seguridad afecta a las versiones más recientes de Gogs, incluidas Gogs 0.14.2 y 0.15.0+dev, y podría ser explotado por atacantes autenticados sin privilegios administrativos para comprometer completamente el servidor vulnerable.

La amenaza resulta especialmente crítica porque Gogs suele desplegarse como alternativa ligera a GitHub Enterprise y GitLab, principalmente en entornos corporativos y proyectos de desarrollo colaborativo accesibles de forma remota.

Según el investigador senior de seguridad de Rapid7, Jonah Burgess, quien descubrió la vulnerabilidad, el problema radica en una falla de inyección de argumentos que aún no ha recibido un identificador CVE oficial y que permanece sin parche pese a haber sido reportada a los mantenedores del proyecto desde marzo.

Cómo funciona la vulnerabilidad zero-day de Gogs

La falla afecta directamente al mecanismo de fusión "Rebase before merge" utilizado durante las operaciones de pull requests.

Un atacante puede aprovechar nombres de ramas especialmente manipulados para inyectar el parámetro --exec en el comando git rebase, permitiendo la ejecución arbitraria de comandos en el servidor donde se ejecuta Gogs.

El problema es especialmente peligroso debido a que los usuarios con permisos básicos pueden explotar la vulnerabilidad sin necesidad de privilegios administrativos.

Además, la configuración predeterminada de Gogs facilita enormemente el ataque.

De acuerdo con Rapid7, el software se distribuye con el registro abierto habilitado por defecto (DISABLE_REGISTRATION = false) y sin restricciones en la creación de repositorios (MAX_CREATION_LIMIT = -1).

Esto significa que un atacante no autenticado simplemente necesita:

• Crear una cuenta en la instancia vulnerable.
• Generar un repositorio propio.
• Activar la opción de fusión mediante rebase.
• Enviar una pull request utilizando una rama maliciosa.

Todo el proceso puede ejecutarse sin interacción adicional de otros usuarios.

Impacto de la ejecución remota de código en Gogs

La explotación exitosa de esta vulnerabilidad podría tener consecuencias devastadoras para organizaciones que utilizan Gogs como plataforma de desarrollo interno.

Entre los riesgos identificados por los investigadores se encuentran:

• Ejecución remota de código arbitrario en el servidor.
• Robo de todos los repositorios alojados, incluidos proyectos privados.
• Exposición de hashes de contraseñas y tokens API.
• Compromiso de claves SSH y secretos de autenticación multifactor.
• Movimiento lateral hacia otros sistemas accesibles desde la red interna.
• Modificación maliciosa de código fuente alojado en la plataforma.
• Inserción de puertas traseras en proyectos de software.

El acceso a repositorios privados representa uno de los escenarios más peligrosos, especialmente para empresas tecnológicas y equipos DevOps que almacenan credenciales, configuraciones sensibles o código propietario dentro de sus proyectos Git.

Un problema recurrente en Gogs

Rapid7 indicó que esta nueva vulnerabilidad comparte similitudes con múltiples fallos previos relacionados con inyección de argumentos en Gogs.

Entre las vulnerabilidades anteriores destacan:

• CVE-2024-39933
• CVE-2024-39932
• CVE-2026-26194
• CVE-2024-39930

Aunque dichas fallas fueron corregidas en el pasado, el nuevo zero-day afecta una ruta de código distinta denominada Merge(), que aparentemente nunca recibió las protecciones adecuadas.

Esto evidencia posibles debilidades persistentes en la validación de argumentos y manejo de comandos Git dentro del proyecto.

Más de 2.400 servidores Gogs expuestos a Internet

La magnitud del problema se agrava debido al elevado número de instancias Gogs accesibles públicamente.

El organismo Shadowserver informó que actualmente existen más de 2.400 servidores Gogs expuestos online, principalmente en Asia y Europa.

Por su parte, el motor de búsqueda Shodan identificó más de 1.000 direcciones IP con huellas digitales compatibles con Gogs.

La combinación de:

• Registro abierto activado por defecto,
• Ausencia de límites de creación de repositorios,
• Exposición directa a Internet,
• Y falta de parche disponible,

convierte esta vulnerabilidad en un objetivo extremadamente atractivo para ciberdelincuentes y actores de amenazas avanzadas.

Antecedentes: ataques zero-day previos contra Gogs

La situación recuerda lo ocurrido con la vulnerabilidad CVE-2025-8110, otra falla crítica de ejecución remota de código en Gogs que fue explotada activamente antes de la publicación de parches.

En aquella ocasión, investigadores de Wiz descubrieron la vulnerabilidad mientras analizaban un servidor comprometido expuesto a Internet.

Los expertos alertaron que muchas instancias vulnerables mantenían habilitado el registro abierto, ampliando considerablemente la superficie de ataque.

Aunque Wiz reportó la vulnerabilidad en julio, los mantenedores reconocieron el problema meses después y publicaron los parches a principios de enero.

Posteriormente, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) confirmó que la vulnerabilidad estaba siendo explotada activamente y la añadió a su catálogo de vulnerabilidades explotadas en la naturaleza.

CISA incluso ordenó a las agencias federales asegurar sus servidores antes de la fecha límite establecida debido al elevado riesgo operativo.

Riesgos para empresas y desarrolladores

Las plataformas Git autoalojadas son infraestructuras críticas para miles de organizaciones modernas.

Cualquier vulnerabilidad RCE en estos entornos puede convertirse rápidamente en un punto de entrada para:

• Ataques a la cadena de suministro de software.
• Robo de propiedad intelectual.
• Compromiso de pipelines CI/CD.
• Distribución de malware mediante repositorios comprometidos.
• Escalamiento de privilegios dentro de redes corporativas.

Los ataques contra plataformas DevOps han aumentado significativamente durante los últimos años debido al enorme valor estratégico que representan para actores maliciosos y grupos APT.

Recomendaciones de seguridad para administradores de Gogs

Mientras no exista un parche oficial disponible, los expertos recomiendan adoptar medidas de mitigación inmediatas:

Deshabilitar el registro abierto

Limitar la creación de nuevas cuentas reduce drásticamente la superficie de ataque.

Restringir la creación de repositorios

Configurar límites estrictos puede impedir abusos automatizados.

Desactivar temporalmente "Rebase before merge"

Esta funcionalidad es el principal vector de explotación identificado.

Restringir acceso desde Internet

Siempre que sea posible, las instancias Gogs deberían mantenerse detrás de VPN o firewalls corporativos.

Monitorizar actividad sospechosa

Los administradores deben revisar:

• Pull requests inusuales.
• Nombres de ramas sospechosos.
• Creación masiva de repositorios.
• Comandos anómalos ejecutados por el servidor Git.

Implementar autenticación multifactor

Aunque no elimina la vulnerabilidad, ayuda a reducir riesgos de acceso no autorizado.

Un escenario crítico para la seguridad DevOps

La nueva vulnerabilidad zero-day en Gogs demuestra nuevamente cómo las plataformas de desarrollo y colaboración se han convertido en objetivos prioritarios para el cibercrimen moderno.

La ausencia de un parche oficial, combinada con miles de servidores expuestos públicamente, crea un escenario de alto riesgo para organizaciones que dependen de Gogs en sus operaciones diarias.

Hasta que exista una actualización de seguridad definitiva, los administradores deberán aplicar medidas de mitigación urgentes para evitar posibles compromisos de infraestructura, robo de código fuente y ataques a la cadena de suministro de software.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login