Критическая уязвимость в популярном инструменте для анализа защищённости попала в каталог активно эксплуатируемых недостатков Агентства по кибербезопасности и безопасности критической инфраструктуры США (CISA). Речь идёт о сканере Trivy от компании Aqua Security, который широко используется в процессах непрерывной интеграции и поставки (CI/CD). Обнаруженная проблема, получившая идентификатор CVE-2026-33634, представляет собой серьёзную угрозу для цепочек поставок программного обеспечения по всему миру, так как позволяет злоумышленникам получить полный контроль над средами разработки.
Уязвимость CVE-2026-33634
Суть уязвимости, классифицированной по стандарту CWE-506, заключается во внедрённом вредоносном коде. Успешная эксплуатация этой слабости позволяет атакующим обходить стандартные механизмы контроля доступа и получать тотальную видимость внутри целевой CI/CD-системы. Фактически, злоумышленники приобретают возможность сканировать области памяти и конфигурации рабочих процессов в поисках критически важных секретов. Радиус поражения при успешном compromise огромен. Злоумышленники могут похищать токены доступа к системам разработки, SSH-ключи, основные учётные данные для облачной инфраструктуры и пароли к базам данных.
Особую опасность этой ситуации придаёт сама роль сканера Trivy в технологическом процессе. Подобные инструменты требуют глубокого доступа к системе для анализа образов контейнеров, файловых систем и репозиториев кода. Следовательно, компрометация сканера равносильна передаче атакующему ключей от всего жизненного цикла разработки программного обеспечения. Хотя на данный момент неизвестно, используется ли эта конкретная уязвимость в кампаниях с программами-вымогателями, её потенциал для извлечения данных делает её чрезвычайно привлекательной для групп Advanced Persistent Threat и брокеров первоначального доступа, специализирующихся на проникновении в сети.
Каталог Known Exploited Vulnerabilities ведётся CISA как авторитетный источник информации об уязвимостях, против которых уже ведутся реальные атаки. Это помогает сетевым защитникам правильно расставлять приоритеты в рамках своих систем управления уязвимостями.
CISA настоятельно рекомендует всем организациям немедленно применить меры по смягчению последствий в строгом соответствии с инструкциями разработчика. Командам безопасности, управляющим облачными CI/CD-конвейерами, также необходимо убедиться в соблюдении соответствующих указаний, изложенных в Распоряжающейся оперативной директиве (Binding Operational Directive, BOD) 22-01. Важно отметить, что если исправления или меры по смягчению последствий недоступны или не могут быть внедрены в конкретной среде разработки, CISA советует администраторам полностью прекратить использование продукта Trivy до тех пор, пока его безопасность не будет гарантирована. Данный инцидент наглядно демонстрирует, как уязвимость в инструменте, предназначенном для повышения безопасности, может сама стать катализатором масштабной атаки, подрывая доверие ко всей цепочке создания программного обеспечения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33634
- https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23
- https://github.com/BerriAI/litellm/issues/24518
- https://inspector.pypi.io/project/litellm/1.82.7/packages/79/5f/b6998d42c6ccd32d36e12661f2734602e72a576d52a51f4245aef0b20b4d/litellm-1.82.7-py3-none-any.whl/litellm/proxy/proxy_server.py#line.130
- https://inspector.pypi.io/project/litellm/1.82.8/packages/f6/2c/731b614e6cee0bca1e010a36fd381fba69ee836fe3cb6753ba23ef2b9601/litellm-1.82.8.tar.gz/litellm-1.82.8/litellm_init.pth#line.1
