-
09/04/2020
-
141
-
2.023 bài viết
Gitea phát cảnh báo khẩn về lỗ hổng chiếm quyền tài khoản quản trị
Các chuyên gia an ninh mạng vừa cảnh báo về hoạt động khai thác thực tế nhắm vào lỗ hổng nghiêm trọng CVE-2026-20896 trong Docker image chính thức của Gitea, nền tảng quản lý mã nguồn tự lưu trữ phổ biến được nhiều tổ chức sử dụng như một lựa chọn thay thế GitHub hoặc GitLab.
Chỉ chưa đầy hai tuần sau khi CVE-2026-20896 được công bố, các cuộc tấn công khai thác lỗ hổng này đã bắt đầu xuất hiện trên Internet. Theo Michael Clark, nhà nghiên cứu bảo mật cấp cao tại Sysdig, hệ thống giám sát của hãng đã phát hiện nhiều hoạt động quét nhắm vào các máy chủ Gitea công khai, chủ yếu xuất phát từ các nút thoát VPN. Điều khiến giới chuyên gia lo ngại là lỗ hổng cho phép tin tặc vượt qua hoàn toàn cơ chế đăng nhập và mạo danh bất kỳ người dùng nào, kể cả quản trị viên, chỉ bằng cách gửi một HTTP header được tạo thủ công. Trong các hệ thống bị ảnh hưởng, kẻ tấn công không cần mật khẩu, token hay bất kỳ thông tin xác thực hợp lệ nào để chiếm quyền tài khoản mục tiêu.
Theo các nhà nghiên cứu, lỗ hổng bắt nguồn từ cấu hình mặc định của Docker image chính thức dành cho Gitea. Hệ thống sử dụng cơ chế xác thực thông qua reverse proxy, trong đó danh tính người dùng được truyền bằng các HTTP header đặc biệt. Tuy nhiên, do tham số REVERSE_PROXY_TRUSTED_PROXIES mặc định được cấu hình ở chế độ chấp nhận mọi địa chỉ IP, Gitea có thể tin tưởng cả những header do kẻ tấn công tự tạo thay vì chỉ các yêu cầu đến từ reverse proxy hợp lệ. Đây chính là điều kiện mở đường cho việc mạo danh người dùng và chiếm quyền truy cập trái phép.
Khi cơ chế xác thực thông qua reverse proxy được kích hoạt, Gitea sử dụng header X-WEBAUTH-USER để xác định danh tính người dùng đăng nhập. Về nguyên tắc, header này chỉ được tạo bởi các reverse proxy đã xác thực người dùng và được hệ thống tin cậy. Tuy nhiên, cấu hình mặc định của Docker image chính thức lại khiến Gitea chấp nhận các header này từ mọi nguồn kết nối. Hệ quả là bất kỳ tác nhân nào có thể truy cập trực tiếp tới cổng HTTP của dịch vụ đều có khả năng tự gửi yêu cầu chứa X-WEBAUTH-USER với giá trị tùy ý. Nếu tên tài khoản được chỉ định tồn tại trên hệ thống, máy chủ sẽ cấp quyền tương ứng mà không yêu cầu thêm bất kỳ bước xác thực nào. Trên thực tế, điều này cho phép tin tặc bỏ qua hoàn toàn cơ chế đăng nhập và chiếm quyền phiên làm việc của bất kỳ người dùng nào chỉ bằng một HTTP header được tạo thủ công, biến các tài khoản đặc quyền như quản trị viên trở thành mục tiêu đặc biệt dễ bị tấn công.
Theo nhóm phát triển Gitea, lỗ hổng có thể bị khai thác trong mọi trường hợp dịch vụ cho phép truy cập trực tiếp tới cổng HTTP mà không đi qua reverse proxy đảm nhiệm việc xác thực người dùng. Điều này khiến các tài khoản đặc quyền trở thành mục tiêu hấp dẫn đối với tin tặc, đặc biệt là những tài khoản quản trị sử dụng tên đăng nhập phổ biến như "admin", "gitea_admin" hoặc các biến thể tương tự. Chỉ cần xác định được tên tài khoản hợp lệ, kẻ tấn công có thể tìm cách mạo danh người dùng đó để giành quyền truy cập vào hệ thống.
Mức độ nguy hiểm của CVE-2026-20896 không chỉ nằm ở khả năng chiếm quyền tài khoản mà còn ở vị trí đặc biệt của Gitea trong hạ tầng phát triển phần mềm. Tại nhiều doanh nghiệp, nền tảng này đóng vai trò trung tâm trong việc lưu trữ mã nguồn, quản lý dự án và vận hành các quy trình CI/CD, đồng thời chứa nhiều thông tin nhạy cảm như khóa API, thông tin xác thực và bí mật triển khai. Một khi giành được quyền truy cập, tin tặc có thể không chỉ tiếp cận các kho mã nguồn riêng tư mà còn can thiệp vào quy trình phát triển, chỉnh sửa mã nguồn hoặc thao túng pipeline triển khai. Trong những trường hợp nghiêm trọng hơn, quyền truy cập này có thể trở thành bàn đạp để mở rộng tấn công sang các hệ thống nội bộ khác, làm gia tăng nguy cơ xâm nhập trên toàn bộ chuỗi cung ứng phần mềm.
Trước nguy cơ bị khai thác trên diện rộng, nhóm phát triển Gitea đã phát hành các bản vá khắc phục CVE-2026-20896. Lỗ hổng ảnh hưởng đến các Docker image chính thức từ phiên bản 1.26.2 trở về trước khi sử dụng cấu hình mặc định. Người dùng được khuyến nghị nâng cấp lên phiên bản 1.26.4, bản phát hành mới nhất hiện nay, do không chỉ xử lý lỗ hổng xác thực nghiêm trọng này mà còn khắc phục thêm một vấn đề khác cùng lỗi hồi quy xuất hiện trong phiên bản 1.26.3.
Trước các dấu hiệu khai thác đang gia tăng, Cơ quan An ninh mạng Singapore (CSA) cũng đã phát đi cảnh báo về CVE-2026-20896 và kêu gọi các tổ chức khẩn trương rà soát hệ thống. Cơ quan này khuyến nghị ưu tiên nâng cấp lên phiên bản đã được vá lỗi, đồng thời nhấn mạnh rằng những đơn vị chưa thể cập nhật ngay cần nhanh chóng siết chặt cấu hình bảo mật. Cụ thể, tham số REVERSE_PROXY_TRUSTED_PROXIES không nên tiếp tục sử dụng giá trị mặc định *, mà cần được giới hạn bằng danh sách các địa chỉ IP reverse proxy đáng tin cậy nhằm ngăn chặn nguy cơ giả mạo danh tính thông qua các header xác thực. Bên cạnh đó, các quản trị viên được khuyến cáo rà soát nhật ký truy cập để phát hiện các yêu cầu bất thường chứa header X-WEBAUTH-USER, kiểm tra hoạt động đăng nhập của các tài khoản đặc quyền và đánh giá khả năng hệ thống đã bị xâm nhập trước khi bản vá được triển khai.
Theo thống kê hiện nay có khoảng 6.200 phiên bản Gitea đang được công khai trên Internet. Mặc dù chưa xác định được chính xác số lượng hệ thống dễ bị ảnh hưởng, việc lỗ hổng đã bị khai thác ngoài thực tế cho thấy các tổ chức sử dụng Gitea cần khẩn trương đánh giá rủi ro và triển khai biện pháp bảo vệ trước khi trở thành mục tiêu của các cuộc tấn công tiếp theo.