Gitea Docker Hatası Aktif Olarak İstismar Ediliyor: Depolar ve Sırlar Tehlikede Linux

Gitea Docker Hatası Aktif Olarak İstismar Ediliyor: Depolar ve Sırlar Tehlikede

Saldırganlar, Gitea'nın Docker imajlarındaki kritik bir açığı (CVE-2026-20896) aktif olarak kullanıyor. Tek bir HTTP başlığı ile kimlik doğrulamasını

Siber güvenlik araştırmacıları, Gitea'nın resmi Docker imajlarını etkileyen kritik bir kimlik doğrulama atlatma açığının (CVE-2026-20896, CVSS 9.8) aktif olarak istismar edildiğini duyurdu. Sysdig araştırmacıları, açığın 1.26.3 öncesi tüm Gitea Docker imajlarını etkilediğini belirtiyor. Saldırganlar, geçerli bir kullanıcı adı içeren tek bir HTTP başlığı göndererek internet üzerinden erişilebilen Gitea örneklerine sızabiliyor. Bu sayede depolar, kaynak kodlar ve hassas sırlar (API anahtarları, veritabanı kimlik bilgileri, dağıtım anahtarları gibi) ele geçirilebiliyor.

Açığın temel nedeni, Gitea'nın resmi Docker imajlarının varsayılan yapılandırmasında 'REVERSE_PROXY_TRUSTED_PROXIES = *' (tüm IP adreslerine güven) ayarının kullanılması. Normalde ters proxy kimlik doğrulaması yalnızca güvenilir proxy'lerden gelen isteklerde X-WEBAUTH-USER başlığına güvenir. Ancak bu yanlış yapılandırma, herhangi bir IP adresinin bu başlığı göndererek herhangi bir kullanıcıyı taklit edebilmesine olanak tanıyor. Güvenlik araştırmacısı Ali Mustafa, bu durumun 'şifre veya token gerektirmediğini' vurguluyor. Özellikle yönetici hesapları hedef alınıyor.

Sysdig'e göre, Shodan üzerinde yaklaşık 6.200 internet üzerinden erişilebilir Gitea örneği tespit edildi. Açığın duyurulmasından sadece 13 gün sonra ilk aktif istismar vakası kaydedildi. Saldırganlar, VPN çıkış tarayıcıları kullanarak Gitea sunucularına erişiyor. Gitea sürüm 1.26.3 ve 1.26.4 ile bu açık giderildi. Ters proxy kimlik doğrulaması artık isteğe bağlı bir özellik haline getirildi. Kullanıcıların acilen güncelleme yapmaları öneriliyor.

Sistem Güvenliği

Sysdig Tehdit Araştırmaları Kıdemli Direktörü Michael Clark, 'Bir Gitea kutusuna kullanıcı erişimi sadece bir web paneli değil, kaynak kodunuzdur' diyerek tehlikeyi özetliyor. Gitea kullanıcıları, özel depolar da dahil olmak üzere kodları okuyup yazabilir; bu da geliştiricilerin yanlışlıkla işlediği API anahtarları, veritabanı kimlik bilgileri, CI/CD yapılandırmaları ve dağıtım anahtarları gibi hassas verilerin ifşa olmasına yol açar. Kullanıcıların derhal sürüm 1.26.3 veya üzerine güncelleme yapmaları kritik önem taşıyor.

Paylaş: