Introduction
Le scanner de vulnérabilités Trivy, largement utilisé, a été compromis dans une attaque de chaîne d'approvisionnement en cours. Les attaquants ont utilisé des informations d'identification volées pour forcer la mise à jour de balises, ce qui a permis l'exécution de code malveillant dans les pipelines de développement.
Contexte Technique
Trivy est un scanner de vulnérabilités qui utilise des mécanismes de machine learning pour détecter les vulnérabilités et les secrets d'authentification codés en dur dans les pipelines de développement et de déploiement de logiciels. L'attaque a commencé jeudi et a touché presque toutes les versions de Trivy, y compris les balises trivy-action et setup-trivy. Les attaquants ont utilisé une technique de compromis de chaîne d'approvisionnement pour mettre à jour les balises avec des dépendances malveillantes.
Analyse et Implications
Les implications de cette attaque sont graves, car les pipelines de développement et de déploiement de logiciels peuvent être compromis, ce qui peut conduire à des fuites de données et à des attaques de sécurité. Les entreprises qui utilisent Trivy doivent supposer que leurs pipelines sont compromis et doivent immédiatement faire pivoter leurs secrets. Les firmes de sécurité Socket et Wiz ont confirmé que le malware exfiltré les secrets, y compris les jetons GitHub, les informations d'identification cloud, les clés SSH et les jetons Kubernetes.
Perspective
Il est essentiel de surveiller de près les mises à jour de sécurité de Trivy et de mettre en œuvre des mesures de sécurité pour protéger les pipelines de développement et de déploiement de logiciels. Les entreprises doivent également être conscientes des risques liés aux attaques de chaîne d'approvisionnement et prendre des mesures pour les prévenir, telles que la mise en œuvre de contrôles de sécurité robustes et la surveillance régulière des activités de développement et de déploiement de logiciels.
