Gogs Path Traversal Açığı: Kod Çalıştırma İstismarı ve Korunma Yöntemleri

Anasayfa » Gogs Path Traversal Açığı: Kod Çalıştırma İstismarı ve Korunma Yöntemleri
APT, Siber Güvenlik, Zafiyetler
Ocak 14, 2026Ocak 14, 2026Tarafından Cybernews.TR
0
Gogs Path Traversal Açığı: Kod Çalıştırma İstismarı ve Korunma Yöntemleri

Saldırının Genel Çerçevesi

Gogs adlı açık kaynaklı Git sunucusunda, CVE-2025-8110 olarak izlenen kritik bir path traversal zafiyeti ortaya çıktı. Bu güvenlik açığı, depo dosya editöründeki PutContents API’sinin sembolik linkleri yanlış işlemesi nedeniyle kod çalıştırmaya imkan veriyor. Saldırganlar, sembolik linkler aracılığıyla hedef dosyaları depolama alanı dışına taşıyarak özellikle Git yapılandırma dosyalarını değiştirebiliyor ve böylece uzaktan kod yürütme yetkisi elde edebiliyor.

Bu zafiyet, geçtiğimiz ay sıfırıncı gün (zero-day) saldırılarda aktif olarak kullanıldığı tespit edildi. Saldırganlar, önceden CVE-2024-55947 için uygulanan korumaları aşmak amacıyla yeni bir yol izliyor; sembolik link oluşturup PutContents API ile hedef dosyaya veri yazıyorlar. Bu durum, işletim sisteminin sembolik linkin işaret ettiği gerçek dosyaya erişmesini ve dosyanın üzerine yazılmasını sağlıyor.

Hangi Sistemler Risk Altında?

Yapılan analizlere göre, dünya genelinde 1600’den fazla internet erişimli Gogs sunucusu bulunuyor. Bunların büyük çoğunluğu Çin (991 adet), ABD (146), Almanya (98), Hong Kong (56) ve Rusya (49) gibi ülkelerde yer alıyor. Yaklaşık 700 Gogs örneğinin saldırganlar tarafından ele geçirildiği bildirildi. Özellikle kamu kurumları, yazılım geliştirme ekipleri ve açık kaynak projeleri bu açıktan etkilenebilir.

Saldırı Zinciri ve Teknik Detaylar

Bu istismar zinciri şu adımlardan oluşuyor:

  • Saldırgan, Git deposu içinde sembolik link oluşturuyor.
  • PutContents API kullanılarak sembolik linkin işaret ettiği hassas dosyaya veri yazılıyor.
  • İşletim sistemi sembolik linki takip ederek gerçek dosyayı değiştiriyor.
  • Özellikle Git konfigürasyonundaki sshCommand ayarı değiştirilerek uzaktan kod çalıştırma sağlanıyor.

Bu teknik detaylar, saldırının MITRE ATT&CK matrisinde T1204 (User Execution) ve T1105 (Ingress Tool Transfer) gibi tekniklerle örtüşüyor. Ayrıca, saldırganların bu açığı kullanarak kalıcı erişim elde etmeleri mümkün.

Alınabilecek Önlemler

Henüz CVE-2025-8110 için resmi bir yama yayınlanmamış olsa da, GitHub üzerindeki çekme talepleri (pull requests) ile gerekli kod değişiklikleri tamamlandı. Proje yöneticileri, yamaların ana dalda birleştirilmesiyle gogs/gogs:latest ve gogs/gogs:next-latest imajlarının güncelleneceğini belirtti.

Bu süreçte sistem yöneticilerine önerilen önlemler şunlardır:

  • Varsayılan açık kayıt (open-registration) özelliğini devre dışı bırakmak.
  • Sunucu erişimini VPN veya IP bazlı izin listeleri ile sınırlandırmak.
  • EDR ve SIEM çözümlerinde PutContents API çağrılarını ve sembolik link aktivitelerini izlemek.
  • Git konfigürasyon dosyalarında olağan dışı değişiklikleri loglamak ve anormallik tespiti yapmak.
  • Ağ segmentasyonu ile kritik sunuculara erişimi kısıtlamak.
  • MFA (Çok Faktörlü Kimlik Doğrulama) uygulamak.
  • Olay müdahale (incident response) planlarını güncellemek ve test etmek.

Regülasyon ve Uyumluluk Boyutu

Federal Sivil Yürütme Birimi (FCEB) gibi bazı kamu kurumları için bu açığın giderilmesi ve gerekli önlemlerin uygulanması 2 Şubat 2026 tarihine kadar zorunlu kılındı. Bu durum, regülasyonların siber güvenlik risklerine karşı daha proaktif önlemler talep ettiğini gösteriyor. Kurumsal yapılar için uyumluluk ve risk yönetimi açısından bu tür zafiyetlerin takip edilmesi kritik önem taşıyor.

, , , , , , ,