Η CISA πρόσθεσε επίσημα μια κρίσιμη ευπάθεια που επηρεάζει τον σαρωτή Trivy της Aquasecurity στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV).
Παρακολούθηση ως CVE-2026-33634, αυτό το ανησυχητικό ελάττωμα ασφαλείας ενέχει σοβαρό κίνδυνο για τους αγωγούς ανάπτυξης λογισμικού.
Με την εκμετάλλευση αυτής της ευπάθειας, οι φορείς απειλών μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εξαιρετικά ευαίσθητα περιβάλλοντα Συνεχούς Ενοποίησης και Συνεχούς Ανάπτυξης (CI/CD).
Οι οργανισμοί που βασίζονται στο Trivy για τη σάρωση ασφαλείας κοντέινερ και αποθετηρίων πρέπει να λάβουν άμεσα μέτρα για την ασφάλεια της υποδομής τους.
Το CVE-2026-33634 είναι μια ευπάθεια ενσωματωμένου κακόβουλου κώδικα, που κατηγοριοποιείται στο CWE-506. Το ζήτημα επικεντρώνεται γύρω από κακόβουλο κώδικα που εισάγεται απευθείας στην αρχιτεκτονική του σαρωτή Trivy.
Αυτό μετατρέπει ένα ζωτικής σημασίας εργαλείο ασφάλειας σε μια επικίνδυνη πύλη για τους φορείς απειλών. Εάν γίνει επιτυχής εκμετάλλευση, ένας εισβολέας μπορεί να υπονομεύσει πλήρως τη σωλήνωση CI/CD όπου λειτουργεί ο σαρωτής.
Το εύρος της μη εξουσιοδοτημένης πρόσβασης που παρέχεται από αυτό το ελάττωμα είναι τεράστιο. Οι εισβολείς μπορούν να εξαγάγουν διακριτικά ελέγχου ταυτότητας, κλειδιά SSH, διαπιστευτήρια παρόχου cloud και κωδικούς πρόσβασης βάσης δεδομένων.
Επιπλέον, μπορούν να διαβάσουν τυχόν ευαίσθητα δεδομένα διαμόρφωσης που έχουν αποθηκευτεί προσωρινά στη μνήμη κατά τη διάρκεια της διαδικασίας σάρωσης.
Επειδή το Trivy απαιτεί αυξημένα δικαιώματα για την εκτέλεση βαθιών σαρώσεων σε κοντέινερ, υποδομή ως κώδικα και βάσεις κωδικών, αυτή η ευπάθεια δίνει ουσιαστικά τα κλειδιά για ολόκληρο το περιβάλλον ανάπτυξης σε έναν εισβολέα.
Οι αγωγοί CI/CD αποτελούν τη ραχοκοκαλιά της σύγχρονης ανάπτυξης λογισμικού, καθιστώντας τους στόχους απίστευτα υψηλής αξίας για επιθέσεις στην αλυσίδα εφοδιασμού.
Όταν ένας παράγοντας απειλής ελέγχει το περιβάλλον CI/CD, μπορεί να προωθήσει κακόβουλες ενημερώσεις απευθείας στους τελικούς χρήστες, παρακάμπτοντας τις παραδοσιακές περιμετρικές άμυνες.
Ως απάντηση στην ενεργό εκμετάλλευση στη φύση, η CISA έχει εκδώσει αυστηρή προθεσμία αποκατάστασης στις 9 Απριλίου 2026.
Ενώ αυτή η εντολή ισχύει άμεσα για τις υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB) σύμφωνα με την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01, οι ιδιωτικοί οργανισμοί καλούνται έντονα να αντιμετωπίσουν αυτό το χρονοδιάγραμμα με τον ίδιο επείγοντα χαρακτήρα.
Δεδομένης της σοβαρότητας της πρόσβασης που παρέχεται από αυτό το ελάττωμα, η άμεση δράση είναι πρωταρχικής σημασίας. Οι διαχειριστές συστήματος πρέπει να εφαρμόσουν αμέσως τους μετριασμούς που παρέχονται από το Aquasecurity και να ενημερώσουν σε μια καθαρή, ενημερωμένη έκδοση του σαρωτή Trivy.
Εάν δεν υπάρχουν επί του παρόντος διαθέσιμες επιδιορθώσεις ή μετριασμούς, Η CISA συμβουλεύει ρητά τους οργανισμούς να διακόψετε εντελώς τη χρήση του προϊόντος.
Η συνέχιση της λειτουργίας ενός παραβιασμένου σαρωτή παρουσιάζει απαράδεκτο κίνδυνο για τις υπηρεσίες cloud και την εσωτερική αρχιτεκτονική δικτύου.
Πέρα από την εφαρμογή ενημερώσεων κώδικα, οι ομάδες ασφαλείας πρέπει υποθέτουμε προληπτικά παραβιάσεις εντός των αγωγών ανάπτυξής τους. Επειδή η ευπάθεια εκθέτει τις διαμορφώσεις μνήμης, η ενημέρωση κώδικα του λογισμικού είναι μόνο το πρώτο βήμα.
Κάθε μυστικό, κλειδί SSH, διακριτικό cloud και κωδικός πρόσβασης βάσης δεδομένων που πέρασε από τη μνήμη του σαρωτή πρέπει να θεωρείται ότι έχει παραβιαστεί και να περιστραφεί αμέσως.
Τα κέντρα λειτουργιών ασφαλείας θα πρέπει επίσης να ελέγχουν σε μεγάλο βαθμό τα περιβάλλοντα cloud τους για ασυνήθιστες κλήσεις API ή μη εξουσιοδοτημένες απόπειρες πρόσβασης χρησιμοποιώντας αυτά τα δυνητικά κλεμμένα διαπιστευτήρια.
