ハッカー、Gitea Dockerイメージの重大な認証バイパスを悪用

ハッカーが、セルフホスト型Gitサービス「Gitea」の公式Dockerイメージに存在する重大な脆弱性を悪用する攻撃を実際に行っています。この脆弱性を突かれると、攻撃者は管理者を含む任意のユーザーになりすますことが可能になります。

このセキュリティ上の欠陥は認証バイパスの脆弱性で、CVE-2026-20896として追跡されています。X-WEBAUTH-USERなどのリバースプロキシ認証ヘッダーが有効になっているデフォルト構成の環境が影響を受けます。

Sysdigの主任セキュリティ研究者であるMichael Clark氏は、脆弱性が一般公開される2週間足らず前から悪用が始まっていたことを確認しています。

現在、公開インターネット上には約6,200件のGiteaインスタンスが露出していますが、そのうち何件が脆弱な状態にあるかは不明です。

「Giteaの公式Dockerイメージは`REVERSE_PROXY_TRUSTED_PROXIES=*`という設定で出荷されています。リバースプロキシ認証が有効になっていると、Giteaはどの送信元IPから来た`X-WEBAUTH-USER`ヘッダーも信頼してしまうため、認証を受けていないインターネット上のクライアントが、名乗った通りの人物になりすませてしまうのです」とClark氏は警告しています

「パスワードもトークンも不要で、ヘッダー1つで済んでしまいます。Sysdigのセンサーは、勧告公開から13日後に実際の攻撃を初めて検知しました。VPN出口をスキャンしてアクセス権を奪取するものでした」

Giteaは、GitHubやGitLabに代わるオープンソースのセルフホスト型サービスで、ソースコードの保存、プルリクエストの管理、共同作業、デプロイ、CI/CD操作などに使われています。

Giteaの公式Dockerイメージは、リバースプロキシ認証において、信頼済みのリバースプロキシからのみではなく、任意のクライアントIPアドレスからの認証情報ヘッダーを信頼する設定になっていました。これにより、認証を受けていない攻撃者が任意のユーザーになりすませる状態になっていました。

CVE-2026-20896の重大な脆弱性は、デフォルト構成において、バージョン1.26.2以下のGitea公式Dockerイメージすべてに影響します。

メンテナーは再現手順を公開し、「意図された認証用プロキシを経由せず、Giteaコンテナのhttpポートに直接到達できるプロセスであれば、ログイン名が判明している、あるいは推測可能な任意のユーザーになりすますことができます。admin、gitea_adminなどの管理者アカウントが明らかな標的となります」と警告しています。

Giteaはバージョン1.26.3および1.26.4をリリースし、CVE-2026-20896に対処しました。ユーザーには最新リリースへ直接アップグレードするよう推奨しています。最新版では、1.26.3で生じた別の問題とリグレッション(機能の後退)も修正されています。

シンガポールのサイバーセキュリティ庁(CSA)も、CVE-2026-20896が実際に悪用されているとして警告を発表しました

安全なバージョンへのアップグレードが不可能な場合、CSAはREVERSE_PROXY_TRUSTED_PROXIES設定を、デフォルトのワイルドカード(*)ではなく、特定の信頼できるIPアドレスに限定するよう推奨しています。

また同庁は、すでに侵害が発生していないかを確認するため、アクセスログを確認し不審な活動がないか調べることも推奨しています。

攻撃者に先んじて、すべてのレイヤーをテストする

セキュリティチームが検知できているのは、成功した攻撃のうちわずか54%で、アラートが発報されるのはたった14%に過ぎません。残りは環境内を気づかれないまま移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(Breach and Attack Simulation)がSIEMとEDRのルールをどのようにテストし、検知をすり抜ける脅威を防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-auth-bypass-in-gitea-docker-image/

ソース: bleepingcomputer.com