CISA警告Trivy重大供應鏈攻擊漏洞已遭利用,要求盡速修補
事件概述
美國網路安全與基礎設施安全局(CISA)近日警告,CVE-2026-33634這項重大漏洞已被實際利用,該漏洞影響開源弱點掃描工具Trivy,且已被納入已知遭利用漏洞清單(KEV)。
影響範圍與風險
Trivy廣泛應用於掃描容器映像檔與基礎設施即程式碼(IaC),其被入侵後,可能導致開發環境中的安全策略失效,並引發進一步的供應鏈攻擊。
攻擊手法與後續影響
- 駭客組織透過入侵Trivy的GitHub Actions流程,植入竊資軟體,並篡改標籤,導致CI/CD流程中暴露敏感資訊。
- 此事件顯示僅依賴掃描工具進行安全防禦的策略存在重大缺陷,必須從鏡像本身與原始碼建置開始建立更穩固的安全基礎。
- 使用Trivy的組織需立即檢查其CI/CD流程,並重設可能被篡改的設定。
官方建議
CISA呼籲各單位盡速修補此漏洞,並強調應重新評估其容器安全策略,避免將安全防禦過度依賴掃描工具。