Security

Peretas Aktif Mengeksploitasi Celah Kritis pada Docker Image Gitea, Bisa Login Sebagai Administrator

Peretas mulai aktif mengeksploitasi kerentanan kritis pada Docker image resmi Gitea yang memungkinkan penyerang melewati proses autentikasi dan menyamar sebagai pengguna mana pun, termasuk administrator, tanpa memerlukan kata sandi maupun token.

Kerentanan tersebut terdaftar sebagai CVE-2026-20896 dan memengaruhi instalasi Gitea yang menggunakan konfigurasi bawaan pada Docker image resmi.

Celah Memungkinkan Login Tanpa Password

Menurut peneliti keamanan utama Sysdig, Michael Clark, eksploitasi terhadap celah ini telah terdeteksi di dunia nyata kurang dari dua minggu setelah vendor merilis advisory keamanan.

Masalahnya berasal dari konfigurasi bawaan Docker image Gitea yang menetapkan:

REVERSE_PROXY_TRUSTED_PROXIES=*

Konfigurasi tersebut membuat Gitea mempercayai header autentikasi seperti X-WEBAUTH-USER dari semua alamat IP, bukan hanya dari reverse proxy terpercaya.

Akibatnya, penyerang cukup mengirimkan request HTTP dengan header:

X-WEBAUTH-USER: admin

maka Gitea akan menganggap permintaan tersebut berasal dari akun administrator.

Clark menjelaskan bahwa kondisi ini memungkinkan penyerang mengakses akun apa pun tanpa autentikasi.

“Tanpa password. Tanpa token. Hanya satu header.”

Sekitar 6.200 Server Gitea Terpapar Internet

Saat ini diperkirakan terdapat sekitar 6.200 instance Gitea yang dapat diakses melalui internet. Belum diketahui berapa banyak di antaranya yang masih menggunakan konfigurasi rentan.

Gitea sendiri merupakan platform Git self-hosted berbasis open source yang banyak digunakan sebagai alternatif GitHub maupun GitLab untuk:

  • Menyimpan source code
  • Mengelola repository Git
  • Pull request dan code review
  • CI/CD
  • Kolaborasi pengembangan aplikasi

Karena sering digunakan di lingkungan perusahaan, keberhasilan eksploitasi dapat memberikan akses ke source code, pipeline CI/CD, hingga kredensial internal.

Hanya Docker Image Resmi yang Terdampak

Kerentanan ini secara khusus memengaruhi:

  • Docker image resmi Gitea
  • Versi 1.26.2 dan lebih lama
  • Dengan konfigurasi default

Masalah muncul ketika autentikasi reverse proxy diaktifkan namun Gitea tetap mempercayai header identitas dari sembarang klien.

Vendor memperingatkan bahwa akun administrator seperti:

  • admin
  • gitea_admin

menjadi target utama karena nama pengguna tersebut mudah ditebak.

Sudah Dieksploitasi di Dunia Nyata

Sysdig mengungkapkan sensor mereka mendeteksi serangan pertama berasal dari sebuah VPN exit node yang melakukan pemindaian internet dan langsung mencoba memperoleh akses menggunakan teknik tersebut.

Selain itu, Cyber Security Agency of Singapore (CSA) juga telah mengeluarkan peringatan resmi bahwa CVE-2026-20896 saat ini sedang dieksploitasi secara aktif.

Solusi: Segera Perbarui ke Versi Terbaru

Tim Gitea telah merilis:

  • Gitea 1.26.3
  • Gitea 1.26.4

Namun pengguna disarankan langsung memperbarui ke versi 1.26.4 karena selain menutup CVE-2026-20896, versi tersebut juga memperbaiki bug tambahan serta regresi yang muncul pada rilis 1.26.3.

Apabila belum memungkinkan melakukan upgrade, administrator disarankan untuk:

  • Mengubah konfigurasi REVERSE_PROXY_TRUSTED_PROXIES agar hanya berisi alamat IP reverse proxy yang benar-benar dipercaya.
  • Tidak menggunakan wildcard (*).
  • Memeriksa access log untuk mencari indikasi adanya akses mencurigakan atau penyamaran akun administrator.

Dengan meningkatnya eksploitasi terhadap platform pengembangan perangkat lunak, administrator disarankan memperlakukan server Git seperti aset kritikal lainnya karena kebocoran repository maupun pipeline CI/CD dapat membuka jalan bagi serangan supply chain yang lebih luas.

Sumber: Gitea Security Team

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button