Kritik Gitea Açığı Aktif Olarak Sömürülüyor: Kimlik Doğrulama Atlaması Tüm Kullanıcıları Tehlikeye Atıyor Siber Güvenlik

Kritik Gitea Açığı Aktif Olarak Sömürülüyor: Kimlik Doğrulama Atlaması Tüm Kullanıcıları Tehlikeye Atıyor

Gitea Docker imajındaki kritik güvenlik açığı, saldırganların yönetici dahil herhangi bir kullanıcıyı taklit etmesine izin veriyor. Sistem yöneticiler

Hackerlar, Gitea self-hosted Git hizmetinin resmi Docker imajında bulunan kritik bir güvenlik açığını aktif olarak sömürüyor. Bu açık, saldırganların yöneticiler de dahil olmak üzere herhangi bir kullanıcıyı taklit etmesine olanak tanıyor. CVE-2026-20896 olarak izlenen güvenlik açığı, varsayılan yapılandırmada X-WEBAUTH-USER gibi ters proxy kimlik doğrulama başlıklarının etkin olduğu dağıtımları etkiliyor.

Sysdig'de baş güvenlik araştırmacısı Michael Clark, açığın sömürülmesinin, güvenlik açığı kamuya açıklanmadan iki haftadan kısa bir süre önce başladığını doğruladı. Clark, 'Gitea'nın resmi Docker imajı REVERSE_PROXY_TRUSTED_PROXIES=* ile geliyor. Ters proxy kimlik doğrulaması etkinleştirildiğinde, Gitea X-WEBAUTH-USER başlığını herhangi bir kaynak IP'den güvenir, böylece kimliği doğrulanmamış bir internet istemcisi, iddia ettiği kişi olur' uyarısında bulundu.

Gitea, GitHub ve GitLab'ın açık kaynaklı, self-hosted bir alternatifidir. Kaynak kodu depolamak, pull request'leri yönetmek, iş birliği yapmak, dağıtmak ve CI/CD işlemlerini gerçekleştirmek için kullanılır. Şu anda genel internette yaklaşık 6.200 Gitea örneği bulunuyor, ancak bunların kaçının savunmasız olduğu bilinmiyor.

Sistem Güvenliği

Gitea'nın resmi Docker imajı, ters proxy kimlik doğrulamasını, kimlik başlıklarını yalnızca güvenilir ters proxy'lerden değil, herhangi bir istemci IP adresinden güvenecek şekilde yapılandırdı. Bu, kimliği doğrulanmamış saldırganların rastgele kullanıcıları taklit etmesine olanak tanıdı. Bakımcı, açığı yeniden üretme adımlarını paylaşarak, 'Gitea konteynerinin HTTP portuna doğrudan ulaşabilen herhangi bir işlem, oturum açma adı bilinen veya tahmin edilebilen herhangi bir kullanıcıyı taklit edebilir. Yönetici hesapları (admin, gitea_admin vb.) bariz hedeflerdir' uyarısında bulundu.

Gitea, CVE-2026-20896'yı gideren 1.26.3 ve 1.26.4 sürümlerini yayınladı ve kullanıcıları doğrudan en son sürüme yükseltmeye çağırdı. Singapur'un siber güvenlik ajansı (CSA) da CVE-2026-20896'nın aktif olarak sömürüldüğü konusunda uyarı yayınladı. Güvenli bir sürüme yükseltmek mümkün değilse, CSA, REVERSE_PROXY_TRUSTED_PROXIES ayarının varsayılan joker karakter (*) yerine belirli güvenilir IP adresleriyle kısıtlanmasını öneriyor.

Önemli Gelişmeler

Saldırganlar, ters proxy'yi atlayarak doğrudan Gitea konteynerine istek gönderiyor ve X-WEBAUTH-USER başlığını manipüle ediyor. Bu, herhangi bir parola veya token gerektirmeden gerçekleşiyor. Sysdig sensörleri, ilk vahşi saldırıyı danışma tarihinden 13 gün sonra tespit etti. Bu saldırı, bir VPN çıkış tarayıcısı tarafından gerçekleştirildi ve erişim sağlandı.

Kullanıcıların, Gitea örneklerini hemen 1.26.4 veya üzerine güncellemeleri kritik önem taşıyor. Ek olarak, ters proxy yapılandırmaları gözden geçirilmeli ve REVERSE_PROXY_TRUSTED_PROXIES ayarı yalnızca gerekli IP adreslerine izin verecek şekilde daraltılmalıdır. Ayrıca, erişim günlükleri şüpheli etkinlikler açısından incelenmeli ve olası bir ihlal belirlenmelidir.

Kaynak: bleepingcomputer.com

Paylaş: