Gogs, 원격 코드 실행을 가능케 하는 치명적인 제로데이 취약점 패치
Gogs는 공격자가 인터넷에 노출된 인스턴스를 장악하고 모든 저장소(비공개 저장소 포함)에 접근할 수 있게 하는 치명적인 보안 제로데이 취약점을 패치했습니다.
이 인수 주입 취약점은 아직 CVE ID가 부여되지 않았으며, 관리자 권한이 없는 인증된 공격자에 의해만 악용될 수 있고, 0.14.2 및 0.15.0+dev을 포함한 모든 Gogs 릴리스에 영향을 미칩니다.
공격자는 이 취약점을 이용해 대상 서버를 장악하고, 모든 저장소(비공개 저장소 포함)를 읽으며, 자격 증명을 탈취하고, 네트워크 내 다른 시스템으로 옆으로 이동하며, 호스팅된 소스 코드를 임의로 변경할 수 있습니다.
위협 행위자는 취약점을 악용하기 위해 최소한 기본 사용자 권한이 필요하지만, 이를 발견하고 보고한 Rapid7 보안 연구원 Jonah Burgess는(https://www.bleepingcomputer.com/news/security/new-gogs-zero-day-flaw-lets-hackers-get-remote-code-execution/) 기본 설정을 사용한 모든 Gogs 서버에 영향을 미친다고 밝혔습니다.
“Gogs는 기본적으로 오픈 등록이 활성화(DISABLE_REGISTRATION = false)되어 있고 저장소 생성 제한이 없으며(MAX_CREATION_LIMIT = -1), 인증되지 않은 공격자는 간단히 계정과 저장소를 생성할 수 있습니다.”라고 Burgess는 2주 전(https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/)에 경고했습니다.
“저장소를 만든 모든 등록 사용자는 자동으로 해당 저장소의 소유자가 됩니다. 여기서 리베이스 병합을 활성화하는 것은 설정에서 한 번 토글하면 되며, 전체 공격 체인은 다른 사용자의 개입 없이 진행될 수 있습니다.”
주말 동안, 사이버 보안 회사가 여러 차례 상태 업데이트에 대한 응답이 없자 공개적으로 이를 알린 지 10일 만에 Gogs 유지보수 팀은 6월 7일에 버전 0.14.3(https://github.com/gogs/gogs/releases/tag/v0.14.3#:~:text=%238301%20%2D%20GHSA%2Dqf6p%2Dp7ww%2Dcwr9)을 출시해 해당 결함을 패치하고 CVE ID를 요청했습니다.
“Rapid7은 모든 Gogs 사용자가 즉시 업그레이드할 것을 권고합니다. 이 수정은 pull request #8301을 통해 구현되었습니다.”라고 Burgess는 덧붙였습니다.
Rapid7은 Gogs 인스턴스를 바로 패치할 수 없는 사용자를 위해 다음과 같은 완화 조치를 공유했습니다.
- 사용자 등록 제한 (app.ini에서
DISABLE_REGISTRATION = true설정) – 신뢰할 수 없는 사용자가 계정을 만드는 것을 방지합니다. 이 조치는 공격이 단일 사용자의 저장소 안에만 존재하기 때문에 가장 효과적입니다.- 저장소 생성 제한 (app.ini에서
MAX_CREATION_LIMIT = 0설정) – 사용자가 자체 저장소를 만드는 것을 막습니다. 관리 패널의 Max Repo Creation 옵션을 통해 사용자별로도 설정할 수 있습니다. 이는 가장 쉬운 공격 경로(리베이스가 활성화된 새 저장소 생성)를 차단하지만, 기존 저장소에 쓰기 권한이 있는 사용자의 악용을 완전히 막지는 못합니다. - 리베이스 병합 설정 감사 – 각 저장소의 Settings > Advanced에서 “Rebase before merging”을 비활성화할 수 있지만, 저장소 소유자이거나 관리자 권한이 있는 악의적인 사용자는 언제든지 이를 다시 활성화할 수 있으므로 효과적인 방어 수단은 아닙니다.
- 저장소 생성 제한 (app.ini에서
Go 언어로 작성되었으며 GitHub Enterprise 또는 GitLab의 대안으로 설계된 Gogs는 종종 원격 협업 플랫폼으로 온라인에 노출됩니다.
인터넷 보안 감시 기관 Shadowserver는 현재 2,300개 이상의 인터넷에 노출된 Gogs 서버(https://dashboard.shadowserver.org/statistics/iot-devices/time-series/?date_range=365&vendor=gogs&dataset=count&limit=100&group_by=geo&stacking=stacked)를 추적하고 있으며, 그 대부분이 아시아(1,839)와 유럽(312)에 위치합니다. 한편 Shodan은 Gogs 지문을 가진 1,000개가 넘는 IP 주소(https://www.shodan.io/search?query=http.title%3A%22Sign+In+-+Gogs%22)를 표시합니다.
온라인에 노출된 Gogs 인스턴스 (ShadowServer)
Burgess는 또한 이번 결함이 Gogs 보안 팀이 최근 몇 년간 패치한 다른 인수 주입 취약점(예: CVE‑2024‑39933, CVE‑2024‑39932, CVE‑2026‑26194, CVE‑2024‑39930)과 매우 유사하지만, Merge() 라는 다른 코드 경로에 영향을 주어 이전에 다루지 않았던 점이 다르다고 설명했습니다.
2026년 12월 초, Gogs는 또 다른 RCE 취약점(CVE‑2025‑8110)을 패치했으며, 이 취약점은 제로데이 공격(https://www.bleepingcomputer.com/news/security/unpatched-gogs-zero-day-rce-flaw-actively-exploited-in-attacks/)에 의해 수백 대 서버가 장악되었습니다.
“많은 인스턴스가 기본적으로 ‘오픈 등록(Open Registration)’을 활성화한 상태로 구성돼 있어, 공격 표면이 크게 확대됩니다.”라고 결함을 보고한 Wiz 보안 연구원들이 말했습니다.
2026년 1월 12일, CISA는 CVE‑2025‑8110이 실제로 악용되고 있음을 확인하고 이를 활동 중인 악용 취약점 카탈로그에 추가했습니다(https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=+CVE-2025-8110). 연방 민간 행정기관(FCEB)은 3주 이내(2월 2일까지) 서버를 보호하도록 명령받았습니다.
“이 유형의 취약점은 악의적인 사이버 행위자들의 빈번한 공격 경로이며, 연방 기업에 중대한 위험을 초래합니다.”라고 CISA는 당시 경고했습니다.
보안 팀은 성공적인 공격의 54%만을 기록하고, 나머지 86%는 알림 없이 진행됩니다. 나머