Underc0de - La Casa de los Informáticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta de alto impacto tras confirmar la explotación activa de una vulnerabilidad de seguridad grave que afecta a Gogs, una popular plataforma de alojamiento de repositorios Git de código abierto. Como respuesta, la agencia ha añadido esta falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), una lista reservada para amenazas que representan un riesgo real e inmediato para organizaciones públicas y privadas.

La vulnerabilidad ha sido identificada como CVE-2025-8110 y cuenta con una puntuación CVSS de 8,7, lo que la sitúa en la categoría de alta gravedad. De acuerdo con CISA, el fallo podría ser explotado para ejecutar código arbitrario en el servidor afectado, comprometiendo por completo la seguridad del sistema.

¿Qué es CVE-2025-8110 y por qué es tan peligrosa?

Según el aviso oficial, CVE-2025-8110 corresponde a un caso de recorrido de rutas (path traversal) presente en el editor de archivos del repositorio de Gogs, concretamente relacionado con el manejo inadecuado de enlaces simbólicos en la API PutContents.

Citar"Gogs contiene una vulnerabilidad en el recorrido de rutas que afecta a un manejo inadecuado de enlaces simbólicos en la API PutContents, lo que podría permitir la ejecución de código", indicó CISA.

Este tipo de vulnerabilidad permite a un atacante escribir o sobrescribir archivos fuera del directorio previsto, abriendo la puerta a ataques mucho más graves cuando se combina con configuraciones sensibles del sistema.

Explotación activa y ataques de día cero

Los detalles técnicos del fallo salieron a la luz el mes pasado, cuando la empresa de seguridad en la nube Wiz reveló que la vulnerabilidad ya estaba siendo explotada activamente en ataques de día cero. Según su análisis, CVE-2025-8110 permite eludir las protecciones introducidas previamente para CVE-2024-55947, una vulnerabilidad relacionada que había sido corregida con anterioridad.

El método de explotación descrito por Wiz es particularmente sofisticado. En esencia, el atacante:

• Crea un repositorio Git en una instancia vulnerable de Gogs.
• Introduce un enlace simbólico malicioso que apunta a un archivo sensible fuera del repositorio.
• Utiliza la API PutContents para escribir datos en dicho enlace simbólico.

Como resultado, el sistema operativo subyacente sigue el enlace simbólico hasta el archivo real, sobrescribiendo archivos críticos ubicados fuera del repositorio. Este comportamiento rompe por completo el modelo de aislamiento esperado en la plataforma.

Ejecución de código mediante configuración Git

Uno de los escenarios más preocupantes identificados por los investigadores es la posibilidad de sobrescribir archivos de configuración de Git, en particular el parámetro sshCommand. Al modificar este valor, un atacante puede inyectar comandos arbitrarios, obteniendo así ejecución de código con los privilegios del servicio Gogs.

Este tipo de ataque no solo permite tomar el control del servidor, sino que también puede facilitar:

• Movimiento lateral dentro de la infraestructura
• Robo de credenciales y claves SSH
• Persistencia mediante puertas traseras
• Compromiso de repositorios y código fuente
• Alcance real del compromiso

Wiz informó haber identificado al menos 700 instancias de Gogs comprometidas activamente como resultado de esta vulnerabilidad. Estas cifras evidencian que el problema no es teórico, sino que ya está siendo explotado a gran escala.

Por su parte, datos de la plataforma de gestión de superficies de ataque Censys indican que existen aproximadamente 1.600 servidores Gogs expuestos a internet, distribuidos principalmente en los siguientes países:

• China: 991 instancias
• Estados Unidos: 146
• Alemania: 98
• Hong Kong: 56
• Rusia: 49

Esta exposición amplia incrementa significativamente el riesgo, especialmente en entornos donde Gogs se utiliza para alojar código interno, proyectos empresariales o infraestructura crítica de desarrollo.

Sin parches oficiales disponibles... por ahora

Actualmente, no existe un parche oficial publicado que solucione CVE-2025-8110. No obstante, las pull requests en GitHub muestran que los cambios necesarios ya han sido implementados en el código fuente del proyecto.

Uno de los responsables de Gogs indicó recientemente:

Citar"Una vez que la imagen esté construida en main, tanto gogs/gogs:latest como gogs/gogs:next-latest tendrán este CVE parcheado".

Hasta que estas versiones estén disponibles y desplegadas, las organizaciones permanecen en una situación de riesgo elevado.

Medidas de mitigación recomendadas

Ante la ausencia de un parche oficial, CISA y los investigadores de seguridad recomiendan aplicar mitigaciones inmediatas, entre ellas:

• Desactivar el registro abierto, que permite la creación de cuentas sin control
• Restringir el acceso al servidor Gogs mediante VPN
• Implementar listas de control de acceso (allowlists) por IP
• Monitorizar actividad anómala en repositorios y archivos de configuración
• Revisar logs en busca de modificaciones sospechosas

Las agencias del Poder Ejecutivo Civil Federal (FCEB) están obligadas a implementar estas medidas de mitigación antes del 2 de febrero de 2026, conforme a los lineamientos del catálogo KEV.

Un recordatorio sobre el riesgo en herramientas de desarrollo

Este incidente refuerza una realidad crítica: las plataformas de desarrollo y control de versiones se han convertido en objetivos prioritarios para los atacantes, ya que ofrecen acceso directo al código, credenciales y flujos de CI/CD.

La inclusión de CVE-2025-8110 en el catálogo KEV de CISA subraya la urgencia de revisar configuraciones, reducir superficies de ataque y aplicar principios de seguridad por defecto, incluso en herramientas consideradas "internas".

Fuente: https://thehackernews.com/