🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças foram observados tentando explorar uma falha crítica de segurança recentemente corrigida nas imagens do Gitea Docker, de acordo com Sysdig.
A vulnerabilidade em questão é CVE-2026-20896 (pontuação CVSS: 9,8), uma vulnerabilidade que decorre da plataforma DevOps que confia no cabeçalho “X-WEBAUTH-USER” de qualquer endereço IP de origem, permitindo efetivamente que um cliente de Internet não autenticado obtenha acesso elevado.
Em uma declaração compartilhada com o The Hacker News por e-mail, o pesquisador de segurança Ali Mustafa (@ rz1027), que é creditado por descobrir e relatar a falha, disse que as imagens do Gitea Docker enviavam um modelo “app.ini” que codifica “REVERSE_PROXY_TRUSTED_PROXIES = *” por padrão. O arquivo “app.ini” é um arquivo de configuração central para gerenciar parâmetros de servidor, conexões de banco de dados, comportamento de segurança e configurações de aplicativos.
“Com o login de proxy reverso habilitado, esse curinga confia em cada IP de origem, para que qualquer pessoa que consiga acessar a porta possa enviar um cabeçalho X-WEBAUTH-USER e ser autenticado como qualquer usuário, sem senha e sem token”, explicou Mustafa. "Com o registro automático ativado, um nome de usuário de administrador fornece admin."
É importante notar que o valor seguro documentado para a variável interna "REVERSE_PROXY_TRUSTED_PROXIES" é "127.0.0.0/8,::1/128", o que significa que apenas localhost, também conhecido como interface de loopback, é permitido como um servidor proxy confiável. No entanto, a imagem oficial do Docker não usa esse "*" de codificação padrão. Em outras palavras, a verificação da lista de permissões é tão boa quanto não tê-la.
Assim, quando um administrador define "ENABLE_REVERSE_PROXY_AUTHENTICATION = true" para colocar Gitea atrás de um proxy reverso de autenticação e deixa a configuração "REVERSE_PROXY_TRUSTED_PROXIES" com seu valor padrão, ele permite um cabeçalho HTTP personalizado X-WEBAUTH-USER de qualquer IP de origem que possa alcançar o contêiner.
“Qualquer processo que possa acessar diretamente a porta HTTP do contêiner Gitea – não por meio do proxy de autenticação pretendido – pode se passar por qualquer usuário cujo nome de login seja conhecido ou adivinhado”, de acordo com o comunicado de Gitea. "Contas de administrador (admin, gitea_admin, etc.) são os alvos óbvios."
A vulnerabilidade afeta versões de imagens Gitea Docker anteriores e incluindo 1.26.2. Ele foi resolvido na versão 1.26.3 lançada no final do mês passado, com o curinga “*” agora removido e a autenticação de proxy reverso tornada opcional.
Desde então, a empresa de segurança em nuvem Sysdig revelou que detectou a primeira tentativa de exploração em estado selvagem 13 dias após a divulgação pública da vulnerabilidade. Existem cerca de 6.200 instâncias do Gitea voltadas para a Internet.
“Até agora, as atividades foram relacionadas à investigação inicial do autor da ameaça”, disse Michael Clark, diretor sênior de pesquisa de ameaças da Sysdig, ao The Hacker News.
"Embora tenhamos visto a primeira ação de um IP do serviço ProtonVPN, 159.26.98[.]241 , até agora ele não progrediu para qualquer exploração ou progresso de ataque. Achamos que isso ocorre porque vimos este antes de ter a chance de se desenvolver além da fase inicial."
Dada a gravidade do problema, é essencial que os usuários apliquem as correções o mais rápido possível para obter proteção ideal.
A vulnerabilidade em questão é CVE-2026-20896 (pontuação CVSS: 9,8), uma vulnerabilidade que decorre da plataforma DevOps que confia no cabeçalho “X-WEBAUTH-USER” de qualquer endereço IP de origem, permitindo efetivamente que um cliente de Internet não autenticado obtenha acesso elevado.
Em uma declaração compartilhada com o The Hacker News por e-mail, o pesquisador de segurança Ali Mustafa (@ rz1027), que é creditado por descobrir e relatar a falha, disse que as imagens do Gitea Docker enviavam um modelo “app.ini” que codifica “REVERSE_PROXY_TRUSTED_PROXIES = *” por padrão. O arquivo “app.ini” é um arquivo de configuração central para gerenciar parâmetros de servidor, conexões de banco de dados, comportamento de segurança e configurações de aplicativos.
“Com o login de proxy reverso habilitado, esse curinga confia em cada IP de origem, para que qualquer pessoa que consiga acessar a porta possa enviar um cabeçalho X-WEBAUTH-USER e ser autenticado como qualquer usuário, sem senha e sem token”, explicou Mustafa. "Com o registro automático ativado, um nome de usuário de administrador fornece admin."
É importante notar que o valor seguro documentado para a variável interna "REVERSE_PROXY_TRUSTED_PROXIES" é "127.0.0.0/8,::1/128", o que significa que apenas localhost, também conhecido como interface de loopback, é permitido como um servidor proxy confiável. No entanto, a imagem oficial do Docker não usa esse "*" de codificação padrão. Em outras palavras, a verificação da lista de permissões é tão boa quanto não tê-la.
Assim, quando um administrador define "ENABLE_REVERSE_PROXY_AUTHENTICATION = true" para colocar Gitea atrás de um proxy reverso de autenticação e deixa a configuração "REVERSE_PROXY_TRUSTED_PROXIES" com seu valor padrão, ele permite um cabeçalho HTTP personalizado X-WEBAUTH-USER de qualquer IP de origem que possa alcançar o contêiner.
“Qualquer processo que possa acessar diretamente a porta HTTP do contêiner Gitea – não por meio do proxy de autenticação pretendido – pode se passar por qualquer usuário cujo nome de login seja conhecido ou adivinhado”, de acordo com o comunicado de Gitea. "Contas de administrador (admin, gitea_admin, etc.) são os alvos óbvios."
A vulnerabilidade afeta versões de imagens Gitea Docker anteriores e incluindo 1.26.2. Ele foi resolvido na versão 1.26.3 lançada no final do mês passado, com o curinga “*” agora removido e a autenticação de proxy reverso tornada opcional.
Desde então, a empresa de segurança em nuvem Sysdig revelou que detectou a primeira tentativa de exploração em estado selvagem 13 dias após a divulgação pública da vulnerabilidade. Existem cerca de 6.200 instâncias do Gitea voltadas para a Internet.
“Até agora, as atividades foram relacionadas à investigação inicial do autor da ameaça”, disse Michael Clark, diretor sênior de pesquisa de ameaças da Sysdig, ao The Hacker News.
"Embora tenhamos visto a primeira ação de um IP do serviço ProtonVPN, 159.26.98[.]241 , até agora ele não progrediu para qualquer exploração ou progresso de ataque. Achamos que isso ocorre porque vimos este antes de ter a chance de se desenvolver além da fase inicial."
Dada a gravidade do problema, é essencial que os usuários apliquem as correções o mais rápido possível para obter proteção ideal.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #atores #de #ameaças #investigam #falha #de #gitea #docker #cve202620896 #13 #dias #após #a #divulgação
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário