Gitea Docker Açığı CVE-2026-20896: Tehdit Aktörleri 13 Gün Sonra Harekete Geçti Siber Güvenlik

Gitea Docker Açığı CVE-2026-20896: Tehdit Aktörleri 13 Gün Sonra Harekete Geçti

Gitea Docker imajlarındaki kritik güvenlik açığı CVE-2026-20896, ifşa edildikten sadece 13 gün sonra saldırganlar tarafından hedef alınmaya başlandı.

Siber güvenlik firması Sysdig'in raporuna göre, tehdit aktörleri Gitea Docker imajlarındaki yakın zamanda yamalanan kritik bir güvenlik açığını sömürmeye çalışıyor. CVE-2026-20896 (CVSS puanı: 9.8) olarak izlenen bu zafiyet, DevOps platformunun 'X-WEBAUTH-USER' başlığını herhangi bir kaynak IP adresinden gelen veriye güvenmesinden kaynaklanıyor ve bu durum, kimliği doğrulanmamış bir internet istemcisinin yüksek yetkili erişim elde etmesine olanak tanıyor.

Güvenlik araştırmacısı Ali Mustafa, açığın Gitea Docker imajlarında varsayılan olarak 'REVERSE_PROXY_TRUSTED_PROXIES = *' ayarını kodlayan bir 'app.ini' şablonundan kaynaklandığını belirtti. 'Ters proxy girişi etkinleştirildiğinde, bu joker karakter tüm kaynak IP'lerine güvenir, böylece porta erişebilen herhangi biri, şifre veya token olmadan X-WEBAUTH-USER başlığı göndererek herhangi bir kullanıcı olarak kimlik doğrulaması yapabilir' diye açıklayan Mustafa, otomatik kaydın açık olması durumunda bir admin kullanıcı adının admin yetkileri verebileceğini ekledi.

Güvenli değer olarak '127.0.0.0/8,::1/128' yani yalnızca localhost'a izin verilmesi gerekirken, resmi Docker imajı varsayılan olarak '*' kullanıyor. Bu, izin listesi kontrolünü neredeyse işlevsiz hale getiriyor. Bir yönetici 'ENABLE_REVERSE_PROXY_AUTHENTICATION = true' ayarını yapıp 'REVERSE_PROXY_TRUSTED_PROXIES' ayarını varsayılan değerinde bırakırsa, konteynere erişebilen herhangi bir kaynak IP'den gelen X-WEBAUTH-USER özel HTTP başlığına izin veriliyor. Gitea'nın uyarısına göre, bu açık, Gitea konteynerinin HTTP portuna doğrudan erişebilen herhangi bir işlemin, bilinen veya tahmin edilebilir kullanıcı adlarına sahip herhangi bir kullanıcının kimliğine bürünebileceği anlamına geliyor.

Sonuç ve Değerlendirme

CVE-2026-20896, Gitea Docker imajlarının 1.26.2 ve önceki sürümlerini etkiliyor. Geçtiğimiz ay sonunda yayınlanan 1.26.3 sürümüyle giderilen açıkta, '*' joker karakteri kaldırıldı ve ters proxy kimlik doğrulaması isteğe bağlı hale getirildi. Sysdig, açığın kamuya duyurulmasından 13 gün sonra ilk vahşi ortamda sömürü girişimini tespit etti. İnternete açık yaklaşık 6.200 Gitea örneği bulunuyor. Sysdig tehdit araştırma direktörü Michael Clark, şu ana kadar tehdit aktörünün faaliyetlerinin ilk araştırma aşamasında olduğunu belirtti. Kullanıcıların en kısa sürede güncellemeleri uygulaması kritik önem taşıyor.

Paylaş: