مهاجمون يستهدفون ثغرة Gitea Docker الحرجة CVE-2026-20896 بعد 13 يوماً
فريق جلتشمنذ ساعة0 مشاهدة4 دقائق

رصدت Sysdig محاولات استغلال لثغرة Gitea Docker الحرجة CVE-2026-20896 بعد 13 يوماً من الكشف. هذا يكشف سرعة المهاجمين ويفرض تحديثات فورية لحماية الأنظمة المعرضة للخطر.
مقدمة تحليلية
بعد 13 يوماً فقط من الكشف العام عن الثغرة الأمنية الخطيرة **CVE-2026-20896**، بدأت جهات التهديد بالفعل في استكشاف محاولات استغلالها في صور Docker الخاصة بمنصة Gitea. رصدت شركة Sysdig أولى هذه الأنشطة من عنوان IP مرتبط بخدمة ProtonVPN، مما يؤكد السرعة الفائقة التي يتحرك بها المهاجمون بعد إفشاء التفاصيل. هذه الثغرة، التي تحمل تصنيف خطورة CVSS يبلغ 9.8، تشكل خطراً وشيكاً على ما يقدر بنحو 6,200 خادم Gitea مكشوف على الإنترنت، وتستغل إعدادات تكوين ضعيفة في بيئات Docker.التحليل التقني
جوهر المشكلة يكمن في كيفية تعامل صور Docker الرسمية لمنصة Gitea مع رأسيات HTTP، وتحديداً رأسية "X-WEBAUTH-USER". تم اكتشاف أن صور Gitea Docker قبل الإصدار 1.26.3، بما في ذلك الإصدار 1.26.2، تأتي مع قالب ملف التكوين "app.ini" الذي يقوم بترميز القيمة "REVERSE_PROXY_TRUSTED_PROXIES = *" افتراضياً. هذه القيمة، التي تعني "كل مصادر IP"، تخلق فجوة أمنية كارثية. المصطلح الأساسي هنا هو **REVERSE_PROXY_TRUSTED_PROXIES**،وهو إعداد يحدد عناوين IP الموثوقة التي يمكنها تمرير معلومات المصادقة عبر وكيل عكسي.
عندما يتم تمكين تسجيل الدخول عبر الوكيل العكسي (`ENABLE_REVERSE_PROXY_AUTHENTICATION = true`) ويبقى الإعداد الافتراضي "*" نشطاً، فإن Gitea يثق بأي رأسية "X-WEBAUTH-USER" تأتي من أي عنوان IP. هذا يسمح لعميل غير مصادق عليه عبر الإنترنت بانتحال شخصية أي مستخدم، بما في ذلك حسابات المسؤولين مثل "admin" أو "gitea_admin"، دون الحاجة إلى كلمة مرور أو رمز مصادقة. الباحث الأمني علي مصطفى (@rz1027) هو من اكتشف هذه الثغرة وأبلغ عنها. وشرح أن هذا الإعداد الافتراضي يفسح المجال لاستغلال مباشر إذا تمكن أي عملية من الوصول إلى منفذ HTTP الخاص بـ Gitea مباشرة، وليس عبر الوكيل المصادق عليه المقصود. * **الثغرة:** CVE-2026-20896 (CVSS: 9.8). * **الإصدارات المتأثرة:** صور Gitea Docker قبل الإصدار 1.26.3. * **السبب:** قيمة "REVERSE_PROXY_TRUSTED_PROXIES = *" مبرمجة في قالب `app.ini` ضمن صور Docker الرسمية. * **الإصلاح:** تم معالجة الثغرة في الإصدار 1.26.3، الذي صدر أواخر الشهر الماضي، من خلال إزالة قيمة "*" وجعل مصادقة الوكيل العكسي اختيارية. * **القيمة الآمنة الموصى بها:** "127.0.0.0/8,::1/128" (أي localhost فقط). * **الكشف عن الاستغلال:** رصدت Sysdig أول محاولة استكشاف بعد 13 يوماً من الكشف العام. * **عدد الخوادم المعرضة:** حوالي 6,200 خادم Gitea مكشوف على الإنترنت.السياق وتأثير السوق
سرعة استكشاف هذه الثغرة تسلط الضوء على فجوة خطيرة بين إفشاء الثغرات وتطبيق التصحيحات. إن الخلل هنا لا يكمن فقط في وجود الثغرة، بل في التكوين الافتراضي الذي شحنته صور Docker.- **إعدادات Gitea الافتراضية مقابل صور Docker:** بينما توصي وثائق Gitea بقيمة آمنة لـ `REVERSE_PROXY_TRUSTED_PROXIES` (مثل `127.0.0.0/8`)، فإن صور Docker الرسمية تجاهلت هذا التوصية ووضعت علامة النجمة `*`، مما حول إعداداً أمنياً حاسماً إلى نقطة ضعف شاملة. هذا تهاون غير مبرر من مطوري الصور.
- **المؤسسات مقابل المهاجمين:** المهاجمون، بذكائهم المعهود وسرعتهم، هم الفائزون في هذه الجولة الأولية. رصد Sysdig لمحاولات استكشاف مبكرة من IP مثل `159.26.98.241` يؤكد أن أساليبهم تتجاوز مجرد الفحص العشوائي. الخاسرون هم آلاف المؤسسات التي تعتمد على صور Gitea Docker القديمة، فهي الآن تواجه خطر الاختراق المباشر لحسابات المسؤولين.
- **الكشف الفوري مقابل الانتشار الواسع:** رغم أن Sysdig أشارت إلى أن الأنشطة كانت مرتبطة بالتحقيق الأولي من قبل المهاجمين، إلا أن هذا لا يقلل من خطورة الوضع. وجود 6,200 خادم Gitea مكشوف على الإنترنت يعني أن نطاق الهجوم المحتمل واسع، وأن التصحيح الفوري ضروري قبل تصعيد هذه المحاولات إلى استغلال كامل.
رؤية Glitch4Techs
الوضع الحالي مع ثغرة CVE-2026-20896 ليس مجرد ثغرة عابرة، بل هو فشل صارخ في التفكير الأمني من جانب مطوري صور Gitea Docker. إدخال قيمة "*" الافتراضية في إعداد حرج للوكيل العكسي هو إهمال لا يُغتفر. الشركات التي لم تحدث بعد تضع نفسها على حافة الهاوية. التحرك الفوري لتحديث جميع صور Gitea Docker إلى الإصدار 1.26.3 أو أحدث ليس خياراً، بل هو واجب أمني لا يمكن تأجيله. أي تأخير يعني تعرضاً غير مبرر لأخطر مستويات الاختراق: الوصول الإداري الكامل. هذه الحادثة يجب أن تكون درساً قاسياً للمطورين حول عواقب التكوينات الافتراضية المتساهلة.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة
مقالات قد تهمك

أمن المعلومات
وكالة التجسس الكندية تقرّ باختراق تجار مخدرات ومتطرفين وعصابات فدية

أمن المعلومات
بصمة ويندوز 11 تُسقط مخترق Scattered Spider بفضل تعاون FBI ومايكروسوفت

أمن المعلومات
علي بابا تحظر كود كلود من أنثروبيك بعد اكتشاف 'باب خلفي' مشبوه

أمن المعلومات