
Según Sysdig, se ha observado a atacantes intentando explotar una falla de seguridad crítica que fue parcheada recientemente en las imágenes de Gitea Docker.
La vulnerabilidad en cuestión es CVE-2026-20896 (puntuación CVSS: 9,8). Esta vulnerabilidad se debe a que las plataformas DevOps confían en el encabezado «X-WEBAUTH-USER» de direcciones IP de origen arbitrarias, lo que permite efectivamente a los clientes de Internet no autenticados un acceso elevado.
En una declaración compartida con The Hacker News por correo electrónico, el investigador de seguridad Ali Mustafa (@rz1027), a quien se le atribuye haber descubierto e informado la falla, dijo que las imágenes de Gitea Docker se envían con una plantilla «app.ini» que codifica «REVERSE_PROXY_TRUSTED_PROXIES = *» de forma predeterminada. El archivo «app.ini» es el archivo de configuración principal para administrar los parámetros del servidor, las conexiones de la base de datos, el comportamiento de seguridad y la configuración de la aplicación.
«Cuando habilita el inicio de sesión de proxy inverso, ese comodín confía en todas las IP de origen, por lo que cualquiera que pueda llegar al puerto puede enviar un encabezado X-WEBAUTH-USER y autenticarse como cualquier usuario sin contraseña o token», explicó Mustafa. «Si el registro automático está activado, el nombre de usuario del administrador será admin».
Tenga en cuenta que el valor seguro documentado para la variable interna «REVERSE_PROXY_TRUSTED_PROXIES» es «127.0.0.0/8,::1/128». Esto significa que solo se permite localhost (también conocido como interfaz loopback) como servidor proxy confiable. Sin embargo, las imágenes oficiales de Docker no utilizan este ‘*’ codificado predeterminado. En otras palabras, es lo mismo que no consultar la lista blanca.
Por lo tanto, si un administrador coloca a Gitea detrás de un proxy inverso de autenticación configurando «ENABLE_REVERSE_PROXY_AUTHENTICATION = true» y dejando la configuración «REVERSE_PROXY_TRUSTED_PROXIES» en su valor predeterminado, permitirá el encabezado HTTP personalizado X-WEBAUTH-USER desde cualquier IP de origen que pueda llegar al contenedor.
Según el aviso de Gitea, «Un proceso con acceso directo al puerto HTTP del contenedor de Gitea, sin pasar por el proxy de autenticación previsto, puede hacerse pasar por un usuario con un nombre de inicio de sesión conocido o adivinable». «Las cuentas administrativas (admin, gitea_admin, etc.) son un objetivo obvio».
Esta vulnerabilidad afecta a versiones de imágenes de Gitea Docker anteriores a la 1.26.2. Este problema se solucionó en la versión 1.26.3 lanzada a fines del mes pasado, que eliminó el comodín «*» y optó por la autenticación de proxy inverso.
La empresa de seguridad en la nube Sysdig reveló luego que había detectado el primer intento de explotación abierta 13 días después de que se revelara la vulnerabilidad. Hay aproximadamente 6.200 instancias Gitea conectadas a Internet.
«La actividad hasta ahora ha estado relacionada con la investigación inicial por parte de actores de amenazas», dijo a The Hacker News Michael Clark, director senior de investigación de amenazas de Sysdig.
«Hemos visto la acción inicial de IP 159.26.98(.)241 en el servicio ProtonVPN, pero hasta ahora no ha progresado hacia ninguna explotación o ataque. Creemos que esto se debe a que vimos esto desde el principio, antes de que tuviera la oportunidad de evolucionar más allá de las etapas iniciales».
Dada la gravedad del problema, es importante que los usuarios apliquen la solución lo antes posible para obtener una protección óptima.
Source link
