Gogs: Kritische Zero-Day-Lücke führt zu Hunderten kompromittierten Servern

Eine ungepatchte Zero-Day-Schwachstelle in der beliebten Git-Software Gogs wird aktiv ausgenutzt. Hunderte Server sind bereits kompromittiert, US-Behörden schlagen Alarm.

Die kritische Sicherheitslücke mit der Kennung CVE-2025-8110 ermöglicht Angreifern mit einem Benutzerkonto die vollständige Übernahme des Servers. Damit sind sensible Quellcodes und interne Infrastrukturen bedroht. Die US-Cybersicherheitsbehörde CISA hat die Lücke diese Woche als aktiv ausgenutzt eingestuft und fordert Bundesbehörden zur sofortigen Absicherung auf.

Angriff über symbolische Links führt zur Systemübernahme

Der Kern des Problems ist ein Pfad-Traversal-Fehler in der Datei-API von Gogs. Die Schwachstelle mit einem hohen CVSS-Score von 8,7 umgeht einen bereits im Vorjahr geschlossenen Fehler. Damals wurde verhindert, dass Angreifer Dateien außerhalb eines Repositorys schreiben können. Die Prüfung versagt jedoch bei symbolischen Links – Verknüpfungen zu anderen Dateien im System.

Ein Angreifer nutzt dies in zwei Schritten aus: Zuerst legt er in einem Repository einen symbolischen Link zu einer kritischen Systemdatei an. Anschließend manipuliert er über eine API-Funktion diesen Link. Das System folgt der Verknüpfung und überschreibt versehentlich die eigentliche Zieldatei. Auf diese Weise können Angreifer beispielsweise die SSH-Konfiguration so ändern, dass sie beliebige Befehle auf dem Server ausführen können.

Passend zum Thema Server‑Hacks: Viele Unternehmen sind auf genau solche Zero‑Day-Angriffe nicht vorbereitet – und stehen dann vor komplizierten Notfallentscheidungen. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, liefert eine praxisnahe Checkliste für Notfallmaßnahmen, Compliance‑Hinweise und eine Prioritätenliste, mit der IT‑Teams kritische Lücken (etwa Pfad‑Traversal in Git‑Tools) schnell erkennen und absichern können. Kostenlosen Cyber‑Security‑Guide herunterladen

Automatisierte Angriffswelle trifft Hunderte Server

Sicherheitsforscher des Cloud-Security-Unternehmens Wiz entdeckten die aktiven Angriffe bei der Untersuchung einer Malware-Infektion. Ihre Analyse zeigt eine groß angelegte, automatisierte Kampagne. Sie zielt auf öffentlich erreichbare Gogs-Server ab – besonders auf jene mit standardmäßig aktivierter offener Registrierung.

Von schätzungsweise 1.400 bis 1.600 internetfähigen Gogs-Servern zeigen mehr als die Hälfte Anzeichen einer Kompromittierung. Die Angriffe folgen einem einheitlichen Muster, was auf einen einzelnen Akteur oder eine Gruppe hindeutet. Auf kompromittierten Servern tauchen Repositorys mit zufällig generierten, achtstelligen Namen auf.

Als Malware setzen die Angreifer eine angepasste Version des Open-Source-Tools Supershell ein. Dieses etabliert eine dauerhafte SSH-Verbindung zurück zum Angreifer. Damit können Quellcodes gestohlen, Server für Kryptomining missbraucht oder als Sprungbrett für Angriffe ins interne Netzwerk genutzt werden.

Kein Patch verfügbar – Diese Notfallmaßnahmen sind jetzt nötig

Bislang existiert kein offizieller Patch für die Schwachstelle. Forscher meldeten das Problem bereits im Juli 2025 an die Maintainer, erhielten aber erst Ende Oktober eine Rückmeldung. Obwohl auf GitHub Code-Änderungen in Arbeit sind, bleibt Nutzern aktuell nur die Absicherung durch eigene Maßnahmen.

CISA und Sicherheitsexperten empfehlen dringend:
* Offene Registrierung deaktivieren, um die Erstellung neuer Angreifer-Konten zu unterbinden.
* Zugriff streng beschränken, idealerweise durch eine VPN-Anbindung oder eine IP-Adressen-Whitelist.
* Repositorys überprüfen auf verdächtige symbolische Links, die aus dem Repository herausführen.

Selbst gehostete Tools – Selbst verantwortlich für die Sicherheit

Der Vorfall zeigt die Risiken selbst gehosteter Entwicklungswerkzeuge. Plattformen wie Gogs sind eine beliebte, schlanke Alternative zu GitLab oder GitHub Enterprise. Sie bieten mehr Kontrolle, verlagern die Sicherheitsverantwortung aber vollständig auf die nutzende Organisation.

Die häufige Praxis, Gogs-Server für die Zusammenarbeit direkt dem Internet auszusetzen, schafft eine große Angriffsfläche. Die Kompromittierung eines Quellcode-Repositorys ist ein katastrophales Ereignis. Sie kann zum Diebstahl geistigen Eigentums, zur Einschleusung bösartigen Codes und zu folgenschweren Supply-Chain-Angriffen führen.

Mit der Aufnahme in den CISA-Katalog und der Bekanntmachung der Details ist mit einer weiteren Zunahme der Angriffe zu rechnen. Bis ein stabiler Patch verfügbar ist, bleibt die Lage für Tausende Server angespannt. Die Frist für US-Behörden zur Absicherung endet am 2. Februar 2026. Sie dürfte den Druck auf die Maintainer, einen Patch bereitzustellen, weiter erhöhen.

Übrigens: Warum 73% der Unternehmen auf Cyberangriffe nicht vorbereitet sind, erklärt dieses kostenlose E‑Book mit konkreten, unmittelbar umsetzbaren Schritten: priorisierte To‑Dos für die Absicherung, VPN‑/Whitelist‑Checks, Erkennung verdächtiger Repository‑Verknüpfungen und Reaktionspläne für Zero‑Day‑Fälle. Ein praktischer Leitfaden für CTOs und IT‑Verantwortliche, die ihre Infrastruktur schnell härten möchten. Jetzt kostenlosen Cyber‑Security‑Report sichern