Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ciberdelincuentes explotan fallo de Docker en Gitea CVE-2026-20896 trece días después de su anuncio


Ciberdelincuentes intentan explotar una falla crítica (CVE-2026-20896) en imágenes Docker de Gitea que permitía el acceso no autenticado a cuentas administrativas. El error se debía a una configuración incorrecta que confiaba en cualquier dirección IP, facilitando la suplantación de usuarios. La vulnerabilidad fue corregida en la versión 1.26.3, por lo que se recomienda actualizar el sistema urgentemente.





 

Se ha observado que diversos actores de amenazas han intentado explotar un fallo de seguridad crítico recientemente parcheado en las imágenes de Docker de Gitea, según Sysdig.

La vulnerabilidad en cuestión es la CVE-2026-20896 (puntuación CVSS: 9.8), un problema que surge porque la plataforma DevOps confía en el encabezado "X-WEBAUTH-USER" de cualquier dirección IP de origen, lo que permite que un cliente de internet no autenticado obtenga acceso elevado.

En una declaración compartida por correo electrónico, el investigador de seguridad Ali Mustafa (@rz1027), a quien se le atribuye el descubrimiento y el reporte del fallo, señaló que las imágenes de Docker de Gitea incluían una plantilla "app.ini" que establece por defecto "REVERSE_PROXY_TRUSTED_PROXIES = *". El archivo app.ini es un archivo de configuración fundamental para gestionar parámetros del servidor, conexiones de bases de datos, comportamiento de seguridad y ajustes de la aplicación.

"Con el inicio de sesión por proxy inverso habilitado, ese comodín confía en cada IP de origen, por lo que cualquiera que pueda alcanzar el puerto podría enviar un encabezado X-WEBAUTH-USER y ser autenticado como cualquier usuario, sin contraseña ni token", explicó Mustafa. "Con el auto-registro activado, un nombre de usuario de administrador otorga permisos de administrador".

Cabe destacar que el valor seguro documentado para la variable interna "REVERSE_PROXY_TRUSTED_PROXIES" es "127.0.0.0/8,::1/128", lo que significa que solo se permite el localhost (interfaz de bucle invertido) como servidor proxy de confianza. Sin embargo, la imagen oficial de Docker no utiliza este valor predeterminado, sino que utiliza el comodín "*". En otras palabras, la verificación de la lista de permitidos es prácticamente inexistente.

Por lo tanto, cuando un administrador configura "ENABLE_REVERSE_PROXY_AUTHENTICATION = true" para colocar Gitea detrás de un proxy inverso de autenticación y deja la configuración de "REVERSE_PROXY_TRUSTED_PROXIES" en su valor por defecto, permite un encabezado HTTP personalizado X-WEBAUTH-USER desde cualquier IP de origen que pueda llegar al contenedor.

"Cualquier proceso que pueda alcanzar directamente el puerto HTTP del contenedor de Gitea —no a través del proxy de autenticación previsto— puede suplantar a cualquier usuario cuyo nombre de inicio de sesión sea conocido o predecible", según el aviso de Gitea. "Las cuentas de administrador (admin, gitea_admin, etc.) son los objetivos obvios".

La vulnerabilidad afecta a las versiones de las imágenes de Docker de Gitea anteriores e inclusive la 1.26.2. Se ha solucionado en la versión 1.26.3 lanzada a finales del mes pasado, eliminando el comodín "*" y haciendo que la autenticación por proxy inverso sea ahora opcional.

La empresa de seguridad en la nube Sysdig ha revelado desde entonces que detectó el primer intento de explotación real 13 días después de la divulgación pública de la vulnerabilidad. Existen alrededor de 6,200 instancias de Gitea expuestas a internet.

"Hasta ahora, las actividades han estado relacionadas con la investigación inicial por parte del actor de amenazas", dijo Michael Clark, director senior de investigación de amenazas de Sysdig.

"Aunque vimos la primera acción desde una IP del servicio ProtonVPN, 159.26.98[.]241, hasta ahora no ha progresado hacia ninguna explotación o ataque. Creemos que esto se debe a que lo detectamos temprano antes de que tuviera la oportunidad de desarrollarse más allá de esa fase inicial".

Dada la gravedad del problema, es esencial que apliques las correcciones lo antes posible para obtener una protección óptima.

Fuente:
THN


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.