本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Gogsの脆弱性(CVE-2018-18925)を狙った攻撃
今月は、Gitホスティングサービス「Gogs」における、リモートコード実行の脆弱性を狙った攻撃が増加しました。本攻撃は以前から断続的に観測していましたが、12月末から継続的に検知するようになりました。下図は、過去2か月間(2022/12/1~2023/1/31)の検知数のグラフです。
以下は、実際に検知した攻撃パケットペイロードです。Cookieヘッダのパラメータ「i_like_gogits」に対して、パストラバーサルを用いて「/etc/passwd」や「/etc/dummy」ファイルの取得を試みる通信を観測しております。
| GET / HTTP/1.1 Host: www.example.com User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36 Connection: close Cookie: lang=en-US; i_like_gogits=../../../../etc/passwd; Accept-Encoding: gzip |
攻撃元国の上位は以下の通りです。アメリカからの攻撃が多数を占めていました。
| # | 2022年12月 | 2023年1月 | ||
| 1 | アメリカ | 46.0% | アメリカ | 41.7% |
| 2 | 韓国 | 25.3% | ポーランド | 13.0% |
| 3 | オランダ | 6.9% | オランダ | 6.0% |
| 4 | ルーマニア | 5.7% | ドイツ | 6.0% |
| 5 | イギリス | 3.4% | イギリス | 2.8% |
影響対象
- Gogs 0.11.66
対策方法
ベンダより公開されている情報を参考に適切な対策を実施してください。
参考情報
- GoGits
https://gogs.io/
- Remote command execution #5469
https://github.com/gogs/gogs/issues/5469
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
