
ที่มาภาพ: BleepingComputer
พบช่องโหว่ข้ามการยืนยันตัวตนระดับวิกฤติใน Docker Image ของ Gitea - รีบอัปเดตทันที
⚡ สรุป 30 วิ
ช่องโหว่ระดับวิกฤติใน Docker Image ของ Gitea ทำให้ผู้โจมตีข้ามการยืนยันและสวมบทบาทผู้ดูแลระบบได้โดยไม่ต้องล็อกอิน ส่งผลกระทบต่อองค์กรหลายแห่งที่ใช้ Gitea บน…
การค้นพบช่องโหว่ระดับวิกฤติที่ทำให้ผู้โจมตีสามารถข้ามขั้นตอนการตรวจสอบตัวตนใน Docker image อย่างเป็นทางการของบริการ Git แบบ self‑hosted Gitea ทำให้มีการรณรงค์อัปเดตอย่างเร่งด่วนจากชุมชนและองค์กรต่าง ๆ ที่ใช้ระบบนี้
Overview
ตามรายงานของเว็บไซต์ข่าวสารด้านความปลอดภัย BleepingComputer เมื่อเร็ว ๆ นี้พบว่าแฮกเกอร์กำลังใช้ช่องโหว่ authentication bypass ใน Docker image ของ Gitea เพื่อทำการสวมบทบาทผู้ใช้ใดก็ได้ รวมถึงบัญชีระดับผู้ดูแลระบบ การโจมตีนี้เกิดขึ้นโดยตรงจากภาพคอนเทนเนอร์ที่ถูกเผยแพร่บน Docker Hub ซึ่งหลายองค์กรนำไปใช้งานในสภาพแวดล้อมผลิตจริง
ช่องโหว่นี้จัดอยู่ในระดับ critical เนื่องจากทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลโค้ด, ค่าการกำหนดค่าและคีย์ส่วนตัวของระบบได้โดยไม่ต้องผ่านกระบวนการล็อกอิน การสวมบทบาทนี้ยังเปิดทางให้แฮกเกอร์อัปโหลดหรือแก้ไขรีโพซิทอรีที่สำคัญ ทำให้ความเสี่ยงต่อการรั่วไหลของซอร์สโค้ดและข้อมูลภายในองค์กรเพิ่มสูงขึ้น
Technical Details
ตามที่ทีมพัฒนา Gitea ระบุ ช่องโหว่เกิดจากการจัดการ session token ที่ไม่ตรวจสอบอย่างเข้มงวดในส่วนของ API endpoint ที่ใช้สำหรับดึงข้อมูลผู้ใช้ เมื่อคอนเทนเนอร์ทำงานบน Docker เวอร์ชันที่ไม่ได้อัปเดต ตัวประมวลผลจะยอมรับค่า header ที่ปลอมแปลงได้ ทำให้ระบบเชื่อถือว่าผู้ร้องขอเป็นผู้ใช้ที่ระบุไว้
โค้ดต้นฉบับของ Gitea บน GitHub แสดงให้เห็นว่าเงื่อนไขการตรวจสอบ Authorization ถูกละเลยในฟังก์ชัน `GetUserByID` หากค่าพารามิเตอร์ถูกส่งผ่าน URL อย่างไม่ปลอดภัย การใช้วิธีนี้ทำให้แฮกเกอร์สามารถสร้าง JWT token ปลอมที่บ่งชี้เป็นผู้ดูแลระบบได้โดยตรง
การทดสอบของทีมความปลอดภัยอิสระยืนยันว่าเพียงแค่ส่งคำขอ HTTP GET ไปยัง endpoint ที่กำหนด พร้อมกับค่า header `X-Auth-Token` ที่ปรับแต่งแล้ว ก็สามารถรับข้อมูลของผู้ใช้ใดก็ได้ รวมถึงรหัสผ่านที่ถูกเก็บในรูปแบบ hash ภายในฐานข้อมูล
Exploitation Activity
จากการตรวจสอบ log ของ Docker Hub พบว่ามีการดาวน์โหลดภาพคอนเทนเนอร์ Gitea ที่มีช่องโหว่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ต้นเดือนนี้ รายงานของบริษัทความปลอดภัยหลายแห่งระบุว่าแฮกเกอร์ได้ใช้สคริปต์อัตโนมัติในการสแกนเซิร์ฟเวอร์ที่เปิดพอร์ต 3000 (ค่าเริ่มต้นของ Gitea) เพื่อทำการโจมตีแบบ credential‑free
ผู้โจมตียังนำเทคนิคนี้ไปผสมกับเครื่องมือจัดการคอนเทนเนอร์อื่น ๆ เช่น Kubernetes และ Docker Swarm ทำให้สามารถกระจายอิทธิพลได้ทั่วทั้งคลัสเตอร์ในเวลาอันสั้น นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่นี้เป็นขั้นตอนแรกในการติดตั้ง backdoor บนเซิร์ฟเวอร์ที่ถูกเจาะ
องค์กรบางแห่งที่ใช้ Gitea เป็นศูนย์กลางการจัดเก็บโค้ดสำคัญ รายงานว่าได้รับอีเมลแจ้งเตือนจากระบบตรวจจับพฤติกรรมแปลกปลอม (anomaly detection) หลังจากมีการสร้าง repository ใหม่โดยผู้ใช้ที่ไม่เคยทำเช่นนั้นมาก่อน ซึ่งต่อมาพบว่ามาจากบัญชีผู้ดูแลระบบที่ถูกสวมบทบาท
Mitigation & Recommendations
ทีมพัฒนา Gitea ได้เผยแพร่เวอร์ชันอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว พร้อมแนะนำขั้นตอนปฏิบัติสำหรับผู้ใช้ Docker image ปัจจุบัน รายการแนวทางสำคัญได้แก่:
- ดึงภาพล่าสุดจาก Docker Hub ด้วยคำสั่ง `docker pull gitea/gitea:latest` และทำการรีบิลด์คอนเทนเนอร์ที่ใช้งานอยู่
- ตรวจสอบเวอร์ชันของ Gitea ภายในคอนเทนเนอร์โดยใช้คำสั่ง `gitea --version` เพื่อยืนยันว่ามีอัปเดตเป็นรุ่นที่มีการแก้ไขช่องโหว่แล้ว
- ปิดพอร์ต 3000 ต่อสาธารณะ หรือจำกัดการเข้าถึงด้วย firewall / security group เพื่อลดความเสี่ยงจากการสแกนอัตโนมัติ
- เปิดใช้งาน **Two‑Factor Authentication (2FA) สำหรับบัญชีผู้ดูแลระบบและผู้ใช้ที่มีสิทธิ์ระดับสูง
องค์กรควรทำการตรวจสอบ log ของ Gitea อย่างละเอียดเพื่อหาหลักฐานของการเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงเปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับระบบหลังจากอัปเดตเสร็จสิ้น
Impact Assessment
ช่องโหว่นี้ส่งผลกระทบต่อองค์กรหลายภาคส่วน ทั้งบริษัทซอฟต์แวร์สตาร์ท‑อัพที่ใช้ Gitea เป็นเครื่องมือหลักในการร่วมพัฒนาโค้ด ไปจนถึงหน่วยงานราชการที่ปรับใช้ระบบนี้เพื่อจัดเก็บเอกสารเวอร์ชันคอนโทรล เนื่องจากการสวมบทบาทผู้ดูแลทำให้ข้อมูลภายในองค์กรสามารถถูกแก้ไขหรือเปิดเผยได้โดยไม่มีบันทึกการเปลี่ยนแปลงที่ชัดเจน
ในมุมมองของอุตสาหกรรมความปลอดภัย การโจมตีประเภท auth bypass ยังคงเป็นหนึ่งในวิธีที่ง่ายและมีประสิทธิภาพที่สุดสำหรับผู้กระทำผิด เนื่องจากไม่ต้องใช้ข้อมูลล่วงหน้าเช่น รหัสผ่านหรือโทเคนที่ถูกขโมย ผู้จัดการระบบควรให้ความสำคัญกับการอัปเดตซอฟต์แวร์อย่างต่อเนื่อง และตรวจสอบการกำหนดค่าเครือข่ายเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
Summary
ช่องโหว่ authentication bypass ใน Docker image ของ Gitea ถูกพบและกำลังถูกใช้โจมตีอย่างจริงจัง ทำให้ผู้ไม่ประสงค์ดีสามารถสวมบทบาทผู้ใช้ใดก็ได้รวมถึงผู้ดูแลระบบ การอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วพร้อมการปิดกั้นพอร์ตเข้าถึงจากภายนอกถือเป็นแนวทางสำคัญในการลดความเสี่ยงต่อองค์กร.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Hackers exploit critical auth bypass in Gitea Docker image
- ผู้เขียน
- Bill Toulas
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 10 กรกฎาคม 2569 เวลา 22:48



