Bedreigingsactoren onderzoeken Gitea Docker-fout CVE-2026-20896 13 dagen na openbaarmaking

Volgens Sysdig zijn er bedreigingsactoren waargenomen die proberen misbruik te maken van een onlangs gepatchte kritieke beveiligingsfout in Gitea Docker-images.

De kwetsbaarheid in kwestie is CVE-2026-20896 (CVSS-score: 9,8), een kwetsbaarheid die voortkomt uit het DevOps-platform dat de “X-WEBAUTH-USER”-header van elk bron-IP-adres vertrouwt, waardoor een niet-geverifieerde internetclient effectief verhoogde toegang kan krijgen.

In een verklaring die via e-mail met The Hacker News werd gedeeld, zei beveiligingsonderzoeker Ali Mustafa (@rz1027), die de fout heeft ontdekt en gerapporteerd, dat de Gitea Docker-images een “app.ini”-sjabloon bevatten die standaard “REVERSE_PROXY_TRUSTED_PROXIES = *” hardcodeert. Het bestand “app.ini” is een kernconfiguratiebestand voor het beheren van serverparameters, databaseverbindingen, beveiligingsgedrag en applicatie-instellingen.

“Als reverse-proxy login is ingeschakeld, vertrouwt die wildcard elk bron-IP, zodat iedereen die de poort zou kunnen bereiken een X-WEBAUTH-USER-header kan verzenden en als elke gebruiker kan worden geverifieerd, zonder wachtwoord en zonder token”, legt Mustafa uit. “Als automatische registratie is ingeschakeld, geeft een beheerdersgebruikersnaam beheerder.”

Het is vermeldenswaard dat de gedocumenteerde veilige waarde voor de interne variabele “REVERSE_PROXY_TRUSTED_PROXIES” “127.0.0.0/8,::1/128” is, wat betekent dat alleen localhost, oftewel de loopback-interface, is toegestaan ​​als vertrouwde proxyserver. De officiële Docker-image gebruikt echter niet deze standaard, hard-coding “*”. Met andere woorden: de controle op de toelatingslijst is net zo goed als het niet hebben ervan.

Dus als een beheerder “ENABLE_REVERSE_PROXY_AUTHENTICATION = true” instelt om Gitea achter een authentiserende reverse proxy te plaatsen en de instelling “REVERSE_PROXY_TRUSTED_PROXIES” op de standaardwaarde laat staan, staat het een X-WEBAUTH-USER aangepaste HTTP-header toe vanaf elk bron-IP dat de container kan bereiken.

“Elk proces dat de HTTP-poort van de Gitea-container rechtstreeks kan bereiken – en niet via de beoogde authenticatieproxy – kan zich voordoen als elke gebruiker wiens inlognaam bekend of te raden is”, aldus het advies van Gitea. “Beheerdersaccounts (admin, gitea_admin, etc.) zijn de voor de hand liggende doelwitten.”

Het beveiligingslek treft Gitea Docker-imageversies vóór en inclusief 1.26.2. Het is verholpen in versie 1.26.3 die eind vorige maand werd uitgebracht, waarbij het jokerteken “*” nu is verwijderd en de reverse-proxy-authenticatie opt-in is gemaakt.

Cloudbeveiligingsbedrijf Sysdig heeft sindsdien onthuld dat het de eerste in-the-wild-exploitatiepoging heeft gedetecteerd, 13 dagen na de publieke bekendmaking van het beveiligingslek. Er zijn ongeveer 6.200 op internet gerichte Gitea-instanties.

“Tot nu toe zijn de activiteiten gerelateerd aan het eerste onderzoek door de dreigingsactor”, vertelde Michael Clark, senior directeur dreigingsonderzoek bij Sysdig, aan The Hacker News.

“Hoewel we de eerste actie zagen van een IP-adres van de ProtonVPN-service, 159.26.98(.)241, is deze tot nu toe nog niet gevorderd tot enige exploitatie of aanvalsvoortgang. We denken dat dit komt omdat we deze al eerder hebben gezien voordat deze de kans heeft gehad om zich voorbij die beginfase te ontwikkelen.”

Gezien de ernst van het probleem is het essentieel dat gebruikers de oplossingen zo snel mogelijk toepassen voor optimale bescherming.

Thijs Van der Does