概要
CISA(サイバーセキュリティおよびインフラストラクチャセキュリティ庁)は、Aquasecurity の Trivy スキャナが影響を受ける深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加しました。
詳細
CVE-2026-33634 と呼ばれるこのセキュリティの欠陥は、埋め込まれた悪意のあるコードを含むもので、継続的な統合およびデプロイ(CI/CD)環境を標的としています。Trivy スキャナは、DevOps パイプライン内でネイティブに使用される広く採用されているオープンソースの脆弱性スキャナであり、この脆弱性が実際に悪用されると、世界中の組織にとって供給チェーンリスクが深刻化します。
脆弱性の詳細
このエクスプロイトの核心は、CWE-506 に分類される埋め込まれた悪意のあるコードの脆弱性です。脅威アクターがこの欠陥を成功裏にトリガーすると、標準的なアクセス制御をバイパスし、標的となる CI/CD 環境全体に対する完全な可視性を得ることができます。
影響
- 脅威アクターはメモリ空間と運用構成から高価値のシークレットを収集する能力を獲得します。
- スキャナが開発トークン、SSH キー、主要なクラウドインフラストラクチャ資格情報、バックエンドデータベースパスワードなどの機密情報を奪う可能性があります。
CISA の対応
CISA は KEV カタログを、ネットワークの防御者が脆弱性管理フレームワークを最優先するための公式な情報源として維持しています。CVE-2026-33634 を 2026 年 3 月 26 日に追加した後、CISA は厳格な準拠期限を設けました。
対応の手順
- Federal Civilian Executive Branch (FCEB) の機関は、2026 年 4 月 9 日までにこの脆弱性を修正する必要があります。
- 組織は即座に対策を適用し、ベンダーの明確な指示に従うことが求められます。
- クラウドベースの CI/CD パイプラインを管理しているセキュリティチームは、Binding Operational Directive (BOD) 22-01 の関連するガイダンスを遵守することも重要です。
結論
CISA は、パッチや対策が利用可能でない場合または特定の開発環境に適用できない場合は、Trivy プロダクトの使用を完全に停止するよう管理者に助言しています。
元記事: https://gbhackers.com/cisa-adds-critical-aquasecurity-trivy-scanner-vulnerability/