មេរោគ Gogs Zero-Day ដែលមិនទាន់បានជួសជុលត្រូវបានគេកេងប្រវ័ញ្ចលើ 700+ ករណីក្នុងចំណោមការវាយប្រហារសកម្ម

ចំណុចខ្សោយសុវត្ថិភាពដែលមិនទាន់បានជួសជុលកម្រិតខ្ពស់នៅក្នុង Gogs បានរងការកេងប្រវ័ញ្ចយ៉ាងសកម្ម ដោយមានឧទាហរណ៍ជាង 700 ដែលងាយរងគ្រោះអាចចូលប្រើបានតាមរយៈអ៊ីនធឺណិត នេះបើយោងតាមការរកឃើញថ្មីពី Wiz។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-8110 (ពិន្ទុ CVSS: 8.7) គឺជាករណីនៃការសរសេរជាន់ឯកសារនៅក្នុង API ធ្វើបច្ចុប្បន្នភាពឯកសារនៃសេវាកម្ម Git ដែលបង្ហោះដោយខ្លួនឯងដែលមានមូលដ្ឋានលើ Go។ ការជួសជុលសម្រាប់បញ្ហានេះត្រូវបានគេនិយាយថាកំពុងដំណើរការ។ ក្រុមហ៊ុននេះបាននិយាយថា ខ្លួនបានរកឃើញចំណុចខ្សោយ zero-day ដោយចៃដន្យនៅក្នុងខែកក្កដា ឆ្នាំ 2025 ខណៈពេលកំពុងស៊ើបអង្កេតការឆ្លងមេរោគ malware នៅលើម៉ាស៊ីនរបស់អតិថិជន។

យោងតាមការពិពណ៌នាអំពីចំណុចខ្សោយនៅក្នុង CVE.org បានឱ្យដឹងថា "ការដោះស្រាយតំណភ្ជាប់និមិត្តសញ្ញាមិនត្រឹមត្រូវនៅក្នុង PutContents API នៅក្នុង Gogs អនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដក្នុងស្រុក"។

ក្រុមហ៊ុនសុវត្ថិភាព cloud បាននិយាយថា CVE-2025-8110 គឺជាផ្លូវវាងសម្រាប់កំហុសប្រតិបត្តិកូដពីចម្ងាយដែលត្រូវបានជួសជុលពីមុន (CVE-2024-55947, ពិន្ទុ CVSS: 8.7) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារសរសេរឯកសារទៅកាន់ផ្លូវដែលបំពាននៅលើម៉ាស៊ីនមេ និងទទួលបានការចូលប្រើ SSH ទៅកាន់ម៉ាស៊ីនមេ។ CVE-2024-55947 ត្រូវបានដោះស្រាយដោយអ្នកគូរនៅក្នុងខែធ្នូ ឆ្នាំ 2024។

លោក Wiz បាននិយាយថា ការជួសជុលដែលដាក់ចេញដោយ Gogs ដើម្បីដោះស្រាយ CVE-2024-55947 អាចត្រូវបានជៀសវាងដោយទាញយកអត្ថប្រយោជន៍ពីការពិតដែលថា Git (ហើយដូច្នេះ Gogs) អនុញ្ញាតឱ្យតំណភ្ជាប់និមិត្តសញ្ញាត្រូវបានប្រើនៅក្នុងឃ្លាំង git ហើយតំណភ្ជាប់និមិត្តសញ្ញាទាំងនោះអាចចង្អុលទៅឯកសារ ឬថតឯកសារនៅខាងក្រៅឃ្លាំង។ លើសពីនេះ Gogs API អនុញ្ញាតឱ្យមានការកែប្រែឯកសារនៅខាងក្រៅពិធីការ Git ធម្មតា។

ជាលទ្ធផល ការបរាជ័យក្នុងការរាប់បញ្ចូលតំណភ្ជាប់និមិត្តសញ្ញានេះអាចត្រូវបានវាយប្រហារដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដតាមអំពើចិត្តតាមរយៈដំណើរការបួនជំហាន -

-បង្កើតឃ្លាំង git ស្តង់ដារ

-បញ្ជូនតំណភ្ជាប់និមិត្តសញ្ញាតែមួយដែលចង្អុលទៅគោលដៅដែលងាយរងគ្រោះ

-ប្រើ API PutContents ដើម្បីសរសេរទិន្នន័យទៅកាន់តំណភ្ជាប់និមិត្តសញ្ញា ដែលបណ្តាលឱ្យប្រព័ន្ធធ្វើតាមតំណភ្ជាប់ និងសរសេរជាន់លើឯកសារគោលដៅនៅខាងក្រៅឃ្លាំង

-សរសេរជាន់លើ ".git/config" (ជាពិសេស sshCommand) ដើម្បីប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត

ចំពោះមេរោគដែលដាក់ពង្រាយនៅក្នុងសកម្មភាព វាត្រូវបានវាយតម្លៃថាជាបន្ទុកដែលផ្អែកលើ Supershell ដែលជាក្របខ័ណ្ឌពាក្យបញ្ជា និងការគ្រប់គ្រងប្រភពបើកចំហ (C2) ដែលជារឿយៗត្រូវបានប្រើប្រាស់ដោយក្រុម hacking របស់ចិន ដែលអាចបង្កើតសែល SSH បញ្ច្រាសទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ("119.45.176[.]196")។

ដោយសារចំណុចខ្សោយនេះមិនមានការជួសជុលទេ វាមានសារៈសំខាន់ណាស់ដែលអ្នកប្រើប្រាស់ត្រូវបិទការចុះឈ្មោះបើកចំហ កំណត់ការប៉ះពាល់នឹងអ៊ីនធឺណិត និងស្កេនឧទាហរណ៍សម្រាប់ឃ្លាំងដែលមានឈ្មោះចៃដន្យ 8 តួអក្សរ។

ការបង្ហាញនេះកើតឡើងនៅពេលដែល Wiz ក៏បានព្រមានផងដែរថា អ្នកគំរាមកំហែងកំពុងកំណត់គោលដៅ GitHub Personal Access Tokens (PAT) ដែលលេចធ្លាយជាចំណុចចូលដែលមានតម្លៃខ្ពស់ដើម្បីទទួលបានការចូលប្រើដំបូងទៅកាន់បរិស្ថានពពកជនរងគ្រោះ និងថែមទាំងទាញយកអត្ថប្រយោជន៍ពីពួកវាសម្រាប់ចលនាចំហៀងឆ្លងកាត់ពពកពី GitHub ទៅប្លង់ត្រួតពិនិត្យ Cloud Service Provider (CSP)។

បញ្ហានៅនឹងដៃគឺថា អ្នកគំរាមកំហែងដែលមានសិទ្ធិអានជាមូលដ្ឋានតាមរយៈ PAT អាចប្រើការស្វែងរកលេខកូដ API របស់ GitHub ដើម្បីស្វែងរកឈ្មោះសម្ងាត់ដែលបានបង្កប់ដោយផ្ទាល់នៅក្នុងលេខកូដ YAML របស់លំហូរការងារ។ ដើម្បីធ្វើឱ្យបញ្ហាកាន់តែស្មុគស្មាញ ប្រសិនបើ PAT ដែលកេងប្រវ័ញ្ចមានសិទ្ធិសរសេរ អ្នកវាយប្រហារអាចប្រតិបត្តិលេខកូដព្យាបាទ និងលុបដាននៃសកម្មភាពព្យាបាទរបស់ពួកគេ។

អ្នកស្រាវជ្រាវ Shira Ayal បាននិយាយថា "អ្នកវាយប្រហារបានទាញយកអត្ថប្រយោជន៍ពី PATs ដែលសម្របសម្រួលដើម្បីស្វែងរកឈ្មោះ GitHub Action Secrets នៅក្នុងមូលដ្ឋានកូដ ហើយបានប្រើវានៅក្នុងលំហូរការងារព្យាបាទដែលទើបបង្កើតថ្មីដើម្បីប្រតិបត្តិលេខកូដ និងទទួលបានអាថ៌កំបាំង CSP"។ "អ្នកគំរាមកំហែងក៏ត្រូវបានគេសង្កេតឃើញកំពុងលួចយកអាថ៌កំបាំងទៅកាន់ចំណុចបញ្ចប់ webhook ដែលពួកគេគ្រប់គ្រង ដោយរំលងកំណត់ហេតុសកម្មភាពទាំងស្រុង"។