Tin tặc bắt đầu dò quét lỗ hổng nghiêm trọng trên Gitea Docker (CVE-2026-20896)
Chỉ 13 ngày sau khi được công bố, lỗ hổng bảo mật nghiêm trọng CVE-2026-20896 trên Gitea Docker đã bắt đầu bị các đối tượng tấn công dò quét.
Các chuyên gia bảo mật từ Sysdig vừa cảnh báo về việc phát hiện các nỗ lực dò quét nhắm vào một lỗ hổng bảo mật nghiêm trọng trên các image Gitea Docker. Lỗ hổng này, được định danh là CVE-2026-20896 với điểm CVSS tối đa 9.8, cho phép kẻ tấn công không cần xác thực vẫn có thể chiếm quyền truy cập nâng cao vào hệ thống.
Bản chất của lỗ hổng
Theo nhà nghiên cứu bảo mật Ali Mustafa, người phát hiện ra lỗ hổng, vấn đề nằm ở tệp cấu hình app.ini trong các image Docker của Gitea. Mặc định, tệp này thiết lập REVERSE_PROXY_TRUSTED_PROXIES = *. Cấu hình này vô tình tin tưởng mọi địa chỉ IP nguồn gửi yêu cầu đến server.
Khi tính năng ENABLE_REVERSE_PROXY_AUTHENTICATION được kích hoạt, kẻ tấn công có thể gửi header tùy chỉnh X-WEBAUTH-USER để mạo danh bất kỳ người dùng nào, kể cả tài khoản quản trị (admin), mà không cần mật khẩu hay token. Trong môi trường cấu hình chuẩn, giá trị này đáng lẽ chỉ nên giới hạn ở 127.0.0.0/8,::1/128 (chỉ cho phép localhost).
Nguy cơ thực tế
Lỗ hổng ảnh hưởng đến các phiên bản Gitea Docker trước và bao gồm cả 1.26.2. Mặc dù Gitea đã phát hành bản vá 1.26.3 vào cuối tháng trước để loại bỏ ký tự đại diện (*) và chuyển xác thực reverse-proxy sang chế độ tùy chọn (opt-in), nhưng các cuộc tấn công đã bắt đầu xuất hiện.
Michael Clark, Giám đốc cấp cao về nghiên cứu mối đe dọa tại Sysdig, cho biết: “Chúng tôi đã ghi nhận những nỗ lực thăm dò đầu tiên từ một địa chỉ IP sử dụng dịch vụ ProtonVPN. Hiện tại, các hoạt động này vẫn đang ở giai đoạn điều tra ban đầu, nhưng đây là dấu hiệu cảnh báo cho thấy tin tặc đang tích cực tìm kiếm các instance Gitea chưa được cập nhật trên internet.”
Ước tính hiện có khoảng 6.200 instance Gitea đang mở công khai trên internet. Người dùng được khuyến cáo cần kiểm tra phiên bản hiện tại và áp dụng bản vá 1.26.3 ngay lập tức để ngăn chặn nguy cơ bị khai thác trái phép.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.