พบช่องโหว่ข้ามการยืนยันตัวตนระดับวิกฤติใน Docker Image ของ Gitea - รีบอัปเดตทันที

ที่มาภาพ: BleepingComputer

Security-อ่าน 7 นาทีBleepingComputer

พบช่องโหว่ข้ามการยืนยันตัวตนระดับวิกฤติใน Docker Image ของ Gitea - รีบอัปเดตทันที

⚡ สรุป 30 วิ

ช่องโหว่ระดับวิกฤติใน Docker Image ของ Gitea ทำให้ผู้โจมตีข้ามการยืนยันและสวมบทบาทผู้ดูแลระบบได้โดยไม่ต้องล็อกอิน ส่งผลกระทบต่อองค์กรหลายแห่งที่ใช้ Gitea บน…

การค้นพบช่องโหว่ระดับวิกฤติที่ทำให้ผู้โจมตีสามารถข้ามขั้นตอนการตรวจสอบตัวตนใน Docker image อย่างเป็นทางการของบริการ Git แบบ self‑hosted Gitea ทำให้มีการรณรงค์อัปเดตอย่างเร่งด่วนจากชุมชนและองค์กรต่าง ๆ ที่ใช้ระบบนี้

Overview

ตามรายงานของเว็บไซต์ข่าวสารด้านความปลอดภัย BleepingComputer เมื่อเร็ว ๆ นี้พบว่าแฮกเกอร์กำลังใช้ช่องโหว่ authentication bypass ใน Docker image ของ Gitea เพื่อทำการสวมบทบาทผู้ใช้ใดก็ได้ รวมถึงบัญชีระดับผู้ดูแลระบบ การโจมตีนี้เกิดขึ้นโดยตรงจากภาพคอนเทนเนอร์ที่ถูกเผยแพร่บน Docker Hub ซึ่งหลายองค์กรนำไปใช้งานในสภาพแวดล้อมผลิตจริง

ช่องโหว่นี้จัดอยู่ในระดับ critical เนื่องจากทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลโค้ด, ค่าการกำหนดค่าและคีย์ส่วนตัวของระบบได้โดยไม่ต้องผ่านกระบวนการล็อกอิน การสวมบทบาทนี้ยังเปิดทางให้แฮกเกอร์อัปโหลดหรือแก้ไขรีโพซิทอรีที่สำคัญ ทำให้ความเสี่ยงต่อการรั่วไหลของซอร์สโค้ดและข้อมูลภายในองค์กรเพิ่มสูงขึ้น

Technical Details

ตามที่ทีมพัฒนา Gitea ระบุ ช่องโหว่เกิดจากการจัดการ session token ที่ไม่ตรวจสอบอย่างเข้มงวดในส่วนของ API endpoint ที่ใช้สำหรับดึงข้อมูลผู้ใช้ เมื่อคอนเทนเนอร์ทำงานบน Docker เวอร์ชันที่ไม่ได้อัปเดต ตัวประมวลผลจะยอมรับค่า header ที่ปลอมแปลงได้ ทำให้ระบบเชื่อถือว่าผู้ร้องขอเป็นผู้ใช้ที่ระบุไว้

โค้ดต้นฉบับของ Gitea บน GitHub แสดงให้เห็นว่าเงื่อนไขการตรวจสอบ Authorization ถูกละเลยในฟังก์ชัน `GetUserByID` หากค่าพารามิเตอร์ถูกส่งผ่าน URL อย่างไม่ปลอดภัย การใช้วิธีนี้ทำให้แฮกเกอร์สามารถสร้าง JWT token ปลอมที่บ่งชี้เป็นผู้ดูแลระบบได้โดยตรง

การทดสอบของทีมความปลอดภัยอิสระยืนยันว่าเพียงแค่ส่งคำขอ HTTP GET ไปยัง endpoint ที่กำหนด พร้อมกับค่า header `X-Auth-Token` ที่ปรับแต่งแล้ว ก็สามารถรับข้อมูลของผู้ใช้ใดก็ได้ รวมถึงรหัสผ่านที่ถูกเก็บในรูปแบบ hash ภายในฐานข้อมูล

Exploitation Activity

จากการตรวจสอบ log ของ Docker Hub พบว่ามีการดาวน์โหลดภาพคอนเทนเนอร์ Gitea ที่มีช่องโหว่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ต้นเดือนนี้ รายงานของบริษัทความปลอดภัยหลายแห่งระบุว่าแฮกเกอร์ได้ใช้สคริปต์อัตโนมัติในการสแกนเซิร์ฟเวอร์ที่เปิดพอร์ต 3000 (ค่าเริ่มต้นของ Gitea) เพื่อทำการโจมตีแบบ credential‑free

ผู้โจมตียังนำเทคนิคนี้ไปผสมกับเครื่องมือจัดการคอนเทนเนอร์อื่น ๆ เช่น Kubernetes และ Docker Swarm ทำให้สามารถกระจายอิทธิพลได้ทั่วทั้งคลัสเตอร์ในเวลาอันสั้น นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่นี้เป็นขั้นตอนแรกในการติดตั้ง backdoor บนเซิร์ฟเวอร์ที่ถูกเจาะ

องค์กรบางแห่งที่ใช้ Gitea เป็นศูนย์กลางการจัดเก็บโค้ดสำคัญ รายงานว่าได้รับอีเมลแจ้งเตือนจากระบบตรวจจับพฤติกรรมแปลกปลอม (anomaly detection) หลังจากมีการสร้าง repository ใหม่โดยผู้ใช้ที่ไม่เคยทำเช่นนั้นมาก่อน ซึ่งต่อมาพบว่ามาจากบัญชีผู้ดูแลระบบที่ถูกสวมบทบาท

Mitigation & Recommendations

ทีมพัฒนา Gitea ได้เผยแพร่เวอร์ชันอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว พร้อมแนะนำขั้นตอนปฏิบัติสำหรับผู้ใช้ Docker image ปัจจุบัน รายการแนวทางสำคัญได้แก่:

  • ดึงภาพล่าสุดจาก Docker Hub ด้วยคำสั่ง `docker pull gitea/gitea:latest` และทำการรีบิลด์คอนเทนเนอร์ที่ใช้งานอยู่
  • ตรวจสอบเวอร์ชันของ Gitea ภายในคอนเทนเนอร์โดยใช้คำสั่ง `gitea --version` เพื่อยืนยันว่ามีอัปเดตเป็นรุ่นที่มีการแก้ไขช่องโหว่แล้ว
  • ปิดพอร์ต 3000 ต่อสาธารณะ หรือจำกัดการเข้าถึงด้วย firewall / security group เพื่อลดความเสี่ยงจากการสแกนอัตโนมัติ
  • เปิดใช้งาน **Two‑Factor Authentication (2FA) สำหรับบัญชีผู้ดูแลระบบและผู้ใช้ที่มีสิทธิ์ระดับสูง

องค์กรควรทำการตรวจสอบ log ของ Gitea อย่างละเอียดเพื่อหาหลักฐานของการเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงเปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับระบบหลังจากอัปเดตเสร็จสิ้น

Impact Assessment

ช่องโหว่นี้ส่งผลกระทบต่อองค์กรหลายภาคส่วน ทั้งบริษัทซอฟต์แวร์สตาร์ท‑อัพที่ใช้ Gitea เป็นเครื่องมือหลักในการร่วมพัฒนาโค้ด ไปจนถึงหน่วยงานราชการที่ปรับใช้ระบบนี้เพื่อจัดเก็บเอกสารเวอร์ชันคอนโทรล เนื่องจากการสวมบทบาทผู้ดูแลทำให้ข้อมูลภายในองค์กรสามารถถูกแก้ไขหรือเปิดเผยได้โดยไม่มีบันทึกการเปลี่ยนแปลงที่ชัดเจน

ในมุมมองของอุตสาหกรรมความปลอดภัย การโจมตีประเภท auth bypass ยังคงเป็นหนึ่งในวิธีที่ง่ายและมีประสิทธิภาพที่สุดสำหรับผู้กระทำผิด เนื่องจากไม่ต้องใช้ข้อมูลล่วงหน้าเช่น รหัสผ่านหรือโทเคนที่ถูกขโมย ผู้จัดการระบบควรให้ความสำคัญกับการอัปเดตซอฟต์แวร์อย่างต่อเนื่อง และตรวจสอบการกำหนดค่าเครือข่ายเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

Summary

ช่องโหว่ authentication bypass ใน Docker image ของ Gitea ถูกพบและกำลังถูกใช้โจมตีอย่างจริงจัง ทำให้ผู้ไม่ประสงค์ดีสามารถสวมบทบาทผู้ใช้ใดก็ได้รวมถึงผู้ดูแลระบบ การอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วพร้อมการปิดกั้นพอร์ตเข้าถึงจากภายนอกถือเป็นแนวทางสำคัญในการลดความเสี่ยงต่อองค์กร.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Hackers exploit critical auth bypass in Gitea Docker image
ผู้เขียน
Bill Toulas
แหล่ง
BleepingComputer
วันที่เผยแพร่
10 กรกฎาคม 2569 เวลา 22:48

Related

บทความที่เกี่ยวข้อง

Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิมSecurity
12 กรกฎาคม 2569 เวลา 08:30

Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิม

Microsoft เตือนว่าการใช้ AI จะเพิ่มจำนวนและความซับซ้อนของแพทช์ในวัน Patch Tuesday มากกว่าเดิม บริษัทกำลังนำระบบสแกนหลายโมเดล MDASH…

The Register6 นาที
เคาน์ตีในสหรัฐจ่าย 1 ล้านดอลลาร์เพื่อลดความเสี่ยงจากการรั่วไหลของข้อมูล 2TBSecurity
12 กรกฎาคม 2569 เวลา 05:30

เคาน์ตีในสหรัฐจ่าย 1 ล้านดอลลาร์เพื่อลดความเสี่ยงจากการรั่วไหลของข้อมูล 2TB

เขต Union County, Ohio จ่ายค่าไถ่ 1 ล้านดอลลาร์ให้แก๊ง Kairos หลังที่ข้อมูล 2 TB ถูกขโมย แม้ไม่มีหลักฐานการลบอย่างชัดเจน…

The Register5 นาที
สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBISecurity
9 กรกฎาคม 2569 เวลา 14:31

สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBI

สเปนจับผู้ต้องสงสัยในเมือง Palencia เชื่อมโยงกับกลุ่มแฮกติวิสต์รัสเซียหลายองค์กร ได้รับข้อมูลจาก FBI…

The Register7 นาที
EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
คัดลอกลิงก์แล้ว!