CVE-2026-33634

Aquasecurity Trivy

ВЕРОЯТНОСТЬ 0.1%
Дата обнаружения

2026-03-26

Официальное описание

Aquasecurity Trivy contains an embedded malicious code vulnerability that could allow an attacker to gain access to everything in the CI/CD environment, including all tokens, SSH keys, cloud credentials, database passwords, and any sensitive configuration in memory.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2026-33634 представляет собой критическую брешь в безопасности сканера Trivy, связанную с наличием внедренного вредоносного кода (Supply Chain Attack). Данная уязвимость позволяет злоумышленнику выполнить произвольный код в контексте среды CI/CD.

В случае эксплуатации атакующий получает полный доступ к: * Переменным окружения и секретам (CI/CD tokens, GitHub/GitLab tokens). * Облачным учетным данным (AWS Access Keys, Azure Service Principals, GCP Service Accounts). * SSH-ключам, используемым для деплоя. * Паролям от баз данных и конфигурационным файлам. * Содержимому оперативной памяти в процессе выполнения пайплайна.

Как исправить

Основным способом устранения является полное удаление скомпрометированных версий и переход на чистую сборку, выпущенную вендором после инцидента.

  1. Обновите Trivy до версии 0.50.1 или выше (в зависимости от актуального патча на момент обнаружения).

Для Linux (Binary):

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin v0.50.1

Для Docker-образов в CI/CD (обновите Dockerfile или пайплайн):

docker pull aquasec/trivy:0.50.1
  1. Проведите полную ротацию всех секретов, которые могли быть доступны в среде CI/CD, где запускались уязвимые версии Trivy. Это критически важно, так как обновление софта не аннулирует уже украденные ключи.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риск эксплуатации следующими методами:

  1. Изоляция среды исполнения: Запускайте Trivy в эфемерных (одноразовых) контейнерах без доступа к чувствительным монтируемым директориям хоста (например, /var/run/docker.sock).

  2. Ограничение сетевого доступа: Заблокируйте исходящий трафик для процесса Trivy на уровне сетевого экрана (Egress filtering), разрешив доступ только к доверенным реестрам и базам уязвимостей Aqua Security.

iptables -A OUTPUT -m owner --cmd-owner trivy -j REJECT
  1. Очистка переменных окружения: Перед запуском сканирования принудительно удаляйте чувствительные переменные из текущей сессии, если они не требуются для работы самого сканера.
unset AWS_SECRET_ACCESS_KEY GITHUB_TOKEN DB_PASSWORD
  1. Использование статических баз: Переведите Trivy в режим --skip-db-update и --offline-scan, предварительно скачав проверенную базу уязвимостей в изолированной среде.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей