脅威アクターらは、Giteaのリバースプロキシ認証機構に存在する脆弱性を悪用し、有効なユーザー名を一つ指定するだけで、インターネットからアクセス可能なインスタンスに侵入しています。
この重大な脆弱性はGiteaの公式Dockerイメージに固有のもので、CVE-2026-20896(CVSSスコア9.8)として追跡されています。SysdigのSr. Director of Threat Researchを務めるMichael Clark氏は、HTTPヘッダー1つだけで悪用できると述べています。
この脆弱性を発見したとして功績を認められたセキュリティ研究者Ali Mustafa氏によると、1.26.3より前のGitea Dockerイメージでは、デフォルト設定において許可リストによる制限が行われておらず、任意の送信元IPアドレスからの接続を受け入れてしまうことが原因だと説明しています。
プロキシの背後に配置される場合、リバースプロキシ認証が有効になっているGiteaは、本来プロキシが設定したヘッダーのみを信頼するべきです。しかし、この脆弱性により、ヘッダーに有効なユーザー名さえ指定できれば誰でも脆弱なインスタンスに接続でき、認証を回避できてしまいます。
「本来認証を担うはずのプロキシを経由せず、GiteaコンテナのHTTPポートに直接アクセスできるプロセスであれば、ログイン名が既知または推測可能な任意のユーザーになりすますことができます。管理者アカウントが格好の標的になるのは明らかです」と、同研究者は指摘しています。
Giteaバージョン1.26.3および1.26.4で導入された修正パッチにより、リバースプロキシ認証はオプトイン方式の機能となりました。
Clark氏によると、CVE-2026-20896の悪用は、脆弱性の公開から13日後に始まったということです。この攻撃は「アクセスを奪取するVPN出口スキャナー」に関連付けられています。
「パスワードは不要。トークンも不要。ヘッダー1つだけです。Sysdigのセンサーは、勧告公開から13日後に実際の攻撃を初めて検知しました」とClark氏は述べています。
Sysdigの調査では、インターネットからアクセス可能なGiteaインスタンスが約6,200件確認されましたが、そのうち何件が脆弱な状態にあるかは不明です。
この脆弱性が悪用に成功すると、Giteaが保持するすべてのコードやシークレットが完全に漏えいする恐れがあるため、ユーザーはできるだけ早くGiteaの導入環境を更新するよう推奨されています。
「Giteaのユーザーは、自分のリポジトリ(非公開リポジトリを含む)を読み書きできます。そこには、出荷するコードだけでなく、開発者が誤ってコミットしてしまったシークレット(APIキー、DB認証情報、デプロイトークン)、CI/CDの設定、そしてデプロイキーが含まれます」とClark氏は指摘しています。
翻訳元: https://www.securityweek.com/critical-gitea-flaw-under-active-exploitation-researchers-warn/