米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Aquasecurityの脆弱性スキャナーTrivyに影響を与える重大な欠陥を、既知の悪用される脆弱性(KEV)カタログに緊急に追加しました。
CVE-2026-33634として追跡されるこのセキュリティの弱点は、継続的インテグレーション・継続的デプロイメント(CI/CD)環境を対象とした組み込みの悪意あるコードを含んでいます。
Trivyはdevopsパイプライン内で広く採用されているオープンソースの脆弱性スキャナーであるため、この積極的な悪用は世界中の組織にとって深刻なサプライチェーンリスクをもたらします。
このエクスプロイトの核は、CWE-506に分類される組み込みの悪意あるコードの脆弱性にあります。
脅威アクターがこの欠陥を正常にトリガーすると、標準的なアクセス制御をバイパスして、ターゲット化されたCI/CD環境に完全な可視性を得ることができます。
攻撃者は本質的に、メモリスペースと運用構成で高価値の秘密情報をスウィープする能力を獲得します。
成功した侵害の影響範囲は広範です。ハッカーは、機密の開発トークン、SSHキー、プライマリクラウドインフラストラクチャ認証情報、およびバックエンドデータベースのパスワードを収集できます。
Trivyのようなスキャナーはコンテナイメージ、ファイルシステム、およびリポジトリを分析するために深いシステムアクセスを必要とするため、スキャナーを侵害することは実質的にソフトウェア開発ライフサイクル全体のキーを攻撃者に提供します。
この特定のエクスプロイトがランサムウェアキャンペーンで積極的に活用されているかどうかは現在のところ不明ですが、データ抽出の可能性はこれを高度な持続的脅威と初期アクセスブローカーにとって非常に有利にしています。
CISAはKEVカタログを権威あるソースとして維持し、ネットワーク防御者が脆弱性管理フレームワークを優先する際に支援しています。
2026年3月26日のCVE-2026-33634の追加に伴い、CISAは厳格なコンプライアンスの期限を発行しました。連邦民間行政府(FCEB)機関は2026年4月9日までにこの脆弱性を修復する必要があります。
組織はベンダーの明示的な指示に従い、直ちに緩和措置を適用するよう指示されています。
クラウドベースのCI/CDパイプラインを管理するセキュリティチームは、バインディング運用指令(BOD)22-01に概説されている適用可能なガイダンスに従うことを確認する必要があります。
特定の開発環境でパッチまたは緩和措置が利用不可能であるか、展開できない場合、
CISAは管理者に対し、安全に保護されるまでTrivyプロダクトの使用を完全に中止するよう勧告しています。
翻訳元: https://gbhackers.com/cisa-adds-critical-aquasecurity-trivy-scanner-vulnerability/
