Krytyczna luka w Aquasecurity Trivy umożliwiająca wprowadzenie złośliwego kodu
Atak na Trivy 0.69.4 w marcu 2026 umożliwił wprowadzenie złośliwego kodu i kradzież sekretów. Zalecane natychmiastowe działania zabezpieczające.
- CVSS
- 9.4 CRITICAL
- EPSS
- 99.03%
- Aktywnie wykorzystywana
- tak
- Produkt
- Trivy
Co wiadomo
W marcu 2026 roku doszło do ataku na łańcuch dostaw narzędzia Trivy, w wyniku którego opublikowano złośliwą wersję 0.69.4 oraz zmodyfikowano znaczniki wersji w powiązanych akcjach GitHub. Atakujący wykorzystali skradzione poświadczenia, co pozwoliło na kradzież sekretów i wprowadzenie złośliwego oprogramowania.
Wpływ biznesowy
Atak na Trivy i powiązane komponenty może skutkować wyciekiem poufnych danych i kompromitacją środowisk CI/CD korzystających z tych narzędzi. Organizacje używające wersji dotkniętych luką powinny traktować wszystkie dostępne sekrety jako narażone i natychmiast je zmienić. Niezaktualizowane lub niezweryfikowane artefakty mogą prowadzić do dalszych incydentów bezpieczeństwa.
Rekomendowane działania administratora
Zidentyfikuj i usuń wszystkie zainfekowane wersje Trivy (szczególnie 0.69.4) oraz powiązane akcje GitHub (trivy-action i setup-trivy). Zweryfikuj logi workflow z 19-20 marca 2026 pod kątem podejrzanej aktywności. Wymień wszystkie sekrety dostępne dla zagrożonych pipeline’ów. Przypnij akcje GitHub do pełnych, niezmiennych commit SHA zamiast używania tagów wersji. Przeprowadź przegląd i aktualizację poświadczeń oraz monitoruj repozytoria pod kątem nietypowych nazw, np. „tpcp-docs”.