Netcrook Logo
👤 LOGICFALCON
🗓️ 13 Jan 2026   🌍 North America

Intrusi nei Repo Git: una vulnerabilità di Gogs spalanca la porta al caos dell’esecuzione di codice

Agenzie federali e migliaia di organizzazioni globali corrono contro il tempo mentre gli hacker sfruttano una falla critica nella piattaforma Git Gogs, ampiamente utilizzata.

È iniziato con un sussurro tra i ricercatori di sicurezza: una singola falla in una piattaforma Git self-hosted, sfruttata silenziosamente in the wild. Ora, con la U.S. Cybersecurity and Infrastructure Security Agency (CISA) che lancia l’allarme, la vulnerabilità in Gogs è esplosa in una vera e propria corsa contro il tempo. Mentre gli attaccanti prendono di mira server non patchati, le organizzazioni di tutto il mondo si ritrovano a fare i salti mortali per difendere codice, dati e infrastrutture prima della scadenza del 2 febbraio 2026.

Al centro del caos c’è CVE-2025-8110, una grave falla di “path traversal” che colpisce Gogs, il server Git leggero di cui migliaia si fidano per repository di codice self-hosted. Il bug, valutato con un elevato 8,7 sulla scala di severità CVSS, deriva da una gestione impropria dei link simbolici (symlink) nella PutContents API della piattaforma. Questa debolezza consente agli attaccanti di uscire dai confini delle directory previste, prendendo di mira file e risorse di sistema ben oltre la portata che dovrebbero avere.

Ecco come funziona l’exploit: un attaccante crea uno symlink all’interno di un repository Git, puntandolo a un file sensibile altrove sul server. Usando l’API vulnerabile, sovrascrive quel file - potenzialmente file di configurazione critici come quelli che regolano l’accesso SSH. Con poche mosse ben congegnate, l’intruso ottiene la capacità di eseguire codice arbitrario sul sistema sottostante, aprendo la strada a furto di dati, distribuzione di ransomware o persino alla completa presa di controllo dell’infrastruttura.

La minaccia è tutt’altro che teorica. La società di sicurezza Wiz ha segnalato almeno 700 istanze di Gogs compromesse, con la maggior parte dei server esposti situati in Cina, Stati Uniti, Germania, Hong Kong e Russia. L’avviso urgente di CISA, emesso a gennaio 2026, conferma che gli attaccanti stanno già trasformando la falla in un’arma in campagne reali.

La posta in gioco è particolarmente alta per le agenzie federali statunitensi e i contractor che - ai sensi della Binding Operational Directive 22-01 di CISA - devono eliminare il rischio entro il 2 febbraio. Eppure, senza una patch ufficiale ancora rilasciata (anche se le correzioni sono in arrivo), molte organizzazioni si trovano davanti a un dilemma: implementare mitigazioni d’emergenza, come disabilitare la registrazione aperta e limitare l’accesso al server, oppure rischiare di diventare la prossima vittima.

I team di sicurezza sono invitati ad agire con urgenza. Il monitoraggio di attività API sospette, la segmentazione delle reti, la revisione dei log di accesso e l’implementazione delle correzioni disponibili devono avere la precedenza. Per ora, la migliore difesa è vigilanza e rapidità - perché nel mondo degli exploit zero-day, ogni ora conta.

La saga della vulnerabilità di Gogs è un duro promemoria: anche gli strumenti open-source di cui ci si fida possono diventare l’anello debole della catena di sicurezza. Con la scadenza che incombe, le organizzazioni riusciranno a patchare più in fretta di quanto gli attaccanti possano colpire? Nella cybersecurity, la compiacenza è sempre la vulnerabilità più pericolosa di tutte.

WIKICROOK

  • Path Traversal: Il Path Traversal è una falla di sicurezza in cui gli attaccanti manipolano i percorsi dei file per accedere a file o dati al di fuori dei confini previsti di un sistema.
  • Link simbolico (Symlink): Un link simbolico (symlink) è una scorciatoia del file system che punta a un altro file o directory, spesso usata per comodità ma può comportare rischi di sicurezza.
  • API (Application Programming Interface): Un’API è un insieme di regole che permette a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono obiettivi comuni in ambito cybersecurity.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste alcuna correzione disponibile, rendendola altamente preziosa e pericolosa per gli attaccanti.
  • CVSS (Common Vulnerability Scoring System): Il CVSS è un sistema standard per valutare la gravità delle vulnerabilità di sicurezza, assegnando punteggi da 0 (basso) a 10 (critico) per guidare le priorità di risposta.
Gogs vulnerability code execution cybersecurity threat
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news