Self-hosted Git: Jeder zweite Gogs-Server im Netz ist wohl kompromittiert
Sicherheitsforscher von Wiz haben eine laufende Angriffskampagne auf Gogs-Server aufgedeckt. Die Angreifer nutzen laut Blogbeitrag der Forscher(öffnet im neuen Fenster) eine Zero-Day-Lücke aus, um Schadcode auf anfällige Systeme zu schleusen und zur Ausführung zu bringen. Von etwa 1.400 online erreichbaren Instanzen scheinen mehr als 700 bereits kompromittiert zu sein.
Bei Gogs handelt es sich um(öffnet im neuen Fenster) einen quelloffenen und in der Programmiersprache Go geschriebenen Git-Service zum Selberhosten. Das zugehörige Git-Repository(öffnet im neuen Fenster) weist über 47.000 Sterne auf und wurde mehr als 5.000-mal geforkt. Auch in Deutschland scheint Gogs vergleichsweise häufig genutzt zu werden, wie die Scans der Forscher zeigen.
So gibt es hierzulande einem Shodan Scan zufolge 82 über das Internet erreichbare Gogs-Instanzen. Damit steht Deutschland hinsichtlich der Verbreitung dieses Tools im Ländervergleich auf Platz 3, gefolgt von Frankreich und Japan mit jeweils 52 Instanzen. China führt das Feld mit 711 Gogs-Instanzen mit großem Abstand an, auf Platz 2 stehen die USA mit 153 Servern.
Wichtige Systemdateien überschreibbar
Bei der für die Infiltration ausgenutzten Sicherheitslücke handelt es sich um CVE-2025-8110(öffnet im neuen Fenster) . Nach Angaben der Wiz-Forscher ermöglicht die Lücke eine Umgehung eines früheren Patches für CVE-2024-55947(öffnet im neuen Fenster) . Dadurch ist es angemeldeten Benutzern möglich, Dateien außerhalb von Git-Repos zu schreiben, dabei wichtige Systemdateien zu überschreiben und beispielsweise einen SSH-Zugriff auf den jeweiligen Server zu erlangen.
Die Wiz-Forscher haben CVE-2025-8110 nach eigenen Angaben schon Mitte Juli 2025 entdeckt und an Gogs gemeldet. Allerdings sollen die Entwickler des self-hosted Git-Services bis heute noch keinen Patch bereitgestellt haben. Das ist vor allem deshalb brisant, weil Wiz schon im Juli laufende Angriffe auf anfällige Instanzen beobachtet hatte, gefolgt von einer zweiten Angriffswelle im November.
Da noch kein Patch verfügbar ist, empfehlen die Forscher Administratoren, die offene Registrierung ihrer Gogs-Server zu deaktivieren. Diese erlaubt es jedem Nutzer, auf der jeweiligen Instanz ein eigenes Konto anzulegen. Standardmäßig ist diese Option aktiv.
Zudem sollten Admins den Zugriff auf Gogs über das Internet nach Möglichkeit einschränken – etwa durch VPN-Verbindungen oder Allow-Listen für bestimmte IP-Adressen. Weitere Details zu den beobachteten Angriffen und wie sich eine bereits erfolgte Kompromittierung erkennen lässt, sind im Blogbeitrag von Wiz(öffnet im neuen Fenster) zu finden.