DevOps platformu Gitea'nın Docker görüntülerinde keşfedilen kritik bir güvenlik açığı, ifşa edildikten sadece 13 gün sonra tehdit aktörleri tarafından hedef alınmaya başlandı. Sysdig güvenlik araştırmacıları, CVE-2026-20896 olarak izlenen ve 9.8 gibi yüksek bir CVSS puanına sahip olan bu açığın vahşi ortamda sömürülmeye çalışıldığını tespit etti. Açık, Gitea'nın 'X-WEBAUTH-USER' başlığını herhangi bir kaynak IP adresinden gelen isteklerde güvenmesi nedeniyle ortaya çıkıyor ve bu da kimliği doğrulanmamış bir internet istemcisinin yüksek yetkili erişim elde etmesine olanak tanıyor.
Güvenlik araştırmacısı Ali Mustafa (@rz1027) tarafından keşfedilen ve raporlanan bu açık, Gitea Docker görüntülerinin 'app.ini' şablonunda 'REVERSE_PROXY_TRUSTED_PROXIES = *' varsayılan değerini sabit kodlamasından kaynaklanıyor. 'app.ini' dosyası, sunucu parametrelerini, veritabanı bağlantılarını, güvenlik davranışını ve uygulama ayarlarını yönetmek için kullanılan temel bir yapılandırma dosyasıdır. Mustafa'ya göre, ters proxy oturum açma etkinleştirildiğinde, bu joker karakter tüm kaynak IP'lerine güveniyor ve böylece porta erişebilen herhangi biri, şifre veya token olmadan 'X-WEBAUTH-USER' başlığı göndererek herhangi bir kullanıcı olarak kimlik doğrulaması yapabiliyor. Otomatik kayıt açıkken, bir admin kullanıcı adı göndermek admin yetkisi veriyor.
Belgelenen güvenli değer 'REVERSE_PROXY_TRUSTED_PROXIES' için '127.0.0.0/8,::1/128' yani yalnızca localhost'a izin verirken, resmi Docker görüntüsü bu varsayılanı kullanmıyor ve bunun yerine '*' joker karakterini sabit kodluyor. Yani, izin listesi kontrolü etkisiz hale geliyor. Bir yönetici 'ENABLE_REVERSE_PROXY_AUTHENTICATION = true' ayarını yaparak Gitea'yı kimlik doğrulayan bir ters proxy arkasına koyduğunda ve 'REVERSE_PROXY_TRUSTED_PROXIES' ayarını varsayılan değerinde bıraktığında, konteynıra ulaşabilen herhangi bir kaynak IP'den gelen X-WEBAUTH-USER özel HTTP başlığına izin veriliyor. Bu, Gitea konteynırının HTTP portuna doğrudan erişebilen herhangi bir işlemin, kullanıcı adı bilinen veya tahmin edilebilir herhangi bir kullanıcıyı taklit edebilmesi anlamına geliyor. Admin hesapları (admin, gitea_admin vb.) en belirgin hedefler.
Güvenlik açığı, Gitea Docker görüntülerinin 1.26.2 ve öncesi sürümlerini etkiliyor. Geçtiğimiz ay sonunda yayınlanan 1.26.3 sürümüyle birlikte '*' joker karakteri kaldırıldı ve ters proxy kimlik doğrulaması isteğe bağlı hale getirildi. Sysdig bulut güvenlik şirketi, açığın kamuya duyurulmasından 13 gün sonra ilk vahşi ortam sömürme girişimini tespit etti. Yaklaşık 6.200 internet üzerinden erişilebilen Gitea örneği bulunuyor.
Sysdig tehdit araştırması kıdemli direktörü Michael Clark, The Hacker News'e yaptığı açıklamada, 'Şu ana kadar faaliyetler, tehdit aktörü tarafından yapılan ilk incelemeyle ilgili. ProtonVPN hizmetinden 159.26.98.241 IP adresinden ilk eylemi gördük, ancak şu ana kadar herhangi bir sömürü veya saldırı ilerlemesi olmadı. Bunun, saldırının ilk aşamanın ötesine geçmesine fırsat bulamadan erken tespit ettiğimiz için olduğunu düşünüyoruz' dedi.
Gitea kullanıcılarının bu kritik güvenlik açığına karşı en kısa sürede 1.26.3 sürümüne güncelleme yapmaları büyük önem taşıyor. Ayrıca, ters proxy kullanılıyorsa 'REVERSE_PROXY_TRUSTED_PROXIES' ayarının güvenli değer olan '127.0.0.0/8,::1/128' olarak ayarlandığından emin olunmalı. Gitea'yı doğrudan internete açık bırakmamak, yalnızca güvenilir bir ters proxy üzerinden erişime izin vermek de alınabilecek önlemler arasında.
Bu olay, yazılım tedarik zincirindeki güvenlik açıklarının ne kadar hızlı hedef alınabileceğini bir kez daha gösteriyor. Özellikle DevOps araçları gibi kritik altyapı bileşenlerinde, güvenlik güncellemelerinin gecikmeden uygulanması hayati önem taşıyor. Sysdig'in erken tespiti, tehdit istihbaratının ve güvenlik izleme sistemlerinin önemini vurguluyor. Kullanıcıların, bu tür açıkları kapatmak için proaktif davranmaları ve sistemlerini sürekli güncel tutmaları gerekiyor.
Kaynak: thehackernews.com