サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Aqua SecurityのTrivyスキャナーの重大な脆弱性をその既知の悪用された脆弱性(KEV)カタログに追加し、DevOpsおよびクラウドセキュリティチーム全体に緊急の懸念を引き起こしています。
CVE-2026-33634として追跡されるこの脆弱性は、既にアクティブに悪用されており、CI/CD環境におけるTrivyの広範な使用により、深刻なサプライチェーンリスクをもたらします。
Trivyは、コンテナイメージ、ファイルシステム、およびリポジトリのセキュリティ問題を検出するために使用される人気のあるオープンソース脆弱性スキャナーです。
現代の開発パイプラインに深く統合されているため、ツールの危殆化は機密システムを大規模に公開する可能性があります。
CISAによるこの脆弱性のKEVカタログへの登録により、攻撃者が実際のシナリオでそれを積極的に活用していることが確認されます。
CVE-2026-33634の中核は、CWE-506に分類される悪意のあるコード挿入脆弱性です。このタイプの弱点には、脅威アクターによってトリガーされて不正なアクションを実行できる隠れた埋め込まれたコードが含まれます。
この場合、悪用により攻撃者は標準的なアクセス制御をバイパスし、CI/CD環境への深い可視性を得ることができます。
トリガーされると、悪意のあるコードは攻撃者がメモリ空間をスキャンし、操作データを抽出することを可能にします。
これには、開発トークン、SSHキー、クラウドインフラストラクチャ認証情報、バックエンドデータベースパスワードなどの非常に機密性の高い情報が含まれます。
スキャンプロセス中のTrivyの昇格された権限を考えると、正常な悪用により攻撃者はソフトウェア開発ライフサイクルの重要なコンポーネントへのアクセスを効果的に取得します。
潜在的な影響は重大です。CI/CDパイプラインを危殆化することにより、攻撃者はビルドを操作し、悪意のあるコードをソフトウェアリリースに注入したり、開発環境内で永続的なアクセスを維持したりできます。
これにより、脆弱性は高度な持続的脅威(APT)グループおよび高価値のターゲット内で足掛かりを得ることに特化した初期アクセスブローカーにとって特に魅力的なものになります。
CVE-2026-33634をランサムウェアキャンペーンに関連付ける確認された証拠はまだありませんが、そのデータ流出機能は、財政的に動機付けられた攻撃における将来の悪用の有力な候補になります。
セキュリティ研究者は、開発者ツールを含むサプライチェーン攻撃がますます一般的になり、そのような脆弱性に関連するリスクを増幅していると警告しています。
このリスティングに加えて、CISAは連邦民間行政機関(FCEB)向けに2026年4月9日の厳格な修復期限を発行しました。
Trivyを使用している組織は、ベンダーが提供する緩和ガイダンスに直ちに従うことを強く勧めます。
セキュリティチームは、既知の悪用された脆弱性に対処するための要件を概説する拘束力のある運用指令(BOD)22-01に合わせるべきです。
パッチまたは緩和策がまだ利用できない場合、CISAは環境を保護できるまでTrivyの使用を中止することを推奨します。
これは脅威の深刻さと、さらなる露出を防ぐことの重要性を強調しています。
CI/CDパイプラインは現代のソフトウェア配信の重要な基盤であり続けるため、このインシデントは、信頼されたセキュリティツール自体が攻撃ベクトルになることに関連する増大するリスクを強調しています。
組織は、進化するサプライチェーンの脅威を軽減するために、その開発エコシステムを継続的に監視および保護する必要があります。
翻訳元: https://cyberpress.org/cisa-adds-aqua-security-trivy-scanner-flaw-to-kev-catalog/