Pirates exploitent une faille critique de contournement d'authentification dans Gitea Dock

Les attaquants exploitent déjà une faille critique de contournement d'authentification dans l'image Docker officielle de Gitea, transformant toute instance exposée en porte ouverte vers la prise de contrôle de comptes. Cette vulnérabilité permet aux utilisateurs non authentifiés d'usurper n'importe quel compte — y compris les administrateurs du site — simplement en construisant des requêtes HTTP spécialement formatées. Une fois à l'intérieur, les attaquants peuvent lire des dépôts privés, publier du code malveillant ou implanter des portes dérobées sans laisser de traces évidentes.
Les chercheurs en sécurité ont révélé le problème pour la première fois le 22 mai après avoir confirmé une exploitation active en conditions réelles. La vulnérabilité provient d'une vérification de permissions manquante dans le point d'accès API de Gitea qui gère la création de sessions, un composant exposé par inadvertance dans l'image Docker officielle gitea/gitea. Comme la faille est présente dans la configuration par défaut, toute organisation exécutant Gitea via Docker — y compris les déploiements en nuage et sur site — doit traiter cette faille comme une urgence nécessitant un correctif immédiat.
Le fonctionnement du contournement
L'exploitation repose sur deux conditions : les déploiements basés sur Docker utilisant la configuration par défaut et le point d'accès API restant accessible sans authentification. En envoyant un en-tête X-Gitea-OTP falsifié accompagné d'un identifiant d'utilisateur manipulé, un attaquant peut détourner les sessions de n'importe quel compte existant. Les mainteneurs de Gitea ont qualifié la faille d'« exploitation triviale » et lui ont attribué le CVE-2024-46982, urging tous les utilisateurs à mettre à jour vers la version 1.22.0 ou ultérieure.
Utilisateurs en nuage et auto-hébergés dans la ligne de mire
La portée de cette faille est exceptionnellement large. Les fournisseurs de nuage proposant Gitea en tant que service sont également concernés s'ils reposent sur l'image vulnérable, tandis que d'innombrables équipes auto-hébergées exécutant Gitea derrière un proxy inverse peuvent encore être exposées si leur image Docker n'a pas été mise à jour. La société de sécurité Aqua Security a souligné que les images téléchargées avant le 22 mai sont à risque, ce qui signifie que même des conteneurs fraîchement déployés pourraient héberger la vulnérabilité.
Enjeux de cette faille
Ce n'est pas un risque théorique : les attaquants ont déjà automatisé des scans pour repérer les points d'accès Gitea exposés, et des codes d'exploitation circulent sur des forums clandestins. Pour les équipes ne pouvant pas appliquer immédiatement le correctif, isoler le réseau hôte Docker, désactiver l'accès public à l'API ou basculer vers un déploiement non Docker constituent des mesures d'urgence essentielles. Cet incident met en lumière comment les déploiements conteneurisés peuvent hériter de failles systémiques et pourquoi la vérification continue des images de base est désormais une priorité incontournable pour les équipes DevOps et sécurité.
Source : BleepingComputer. Synthèse éditoriale assistée par IA — TechnoExpress.

