Trivy

Trivy ist ein verbreiteter Sicherheitsscanner von Aquasecurity, der typischerweise in CI/CD-Pipelines eingesetzt wird. Bei dieser Schwachstelle handelt es sich nicht um einen klassischen Programmierfehler, sondern um eingeschleusten Schadcode infolge eines Angriffs auf die Lieferkette: Angreifer verschafften sich mit gestohlenen Zugangsdaten Zugriff auf die Veröffentlichungswege und schoben eine manipulierte Trivy-Version sowie präparierte Versionen der zugehörigen GitHub-Actions unter. Diese überschriebenen Auslieferungen enthielten Schadsoftware, die Zugangsdaten abgreift. Wird eine kompromittierte Variante in einer Pipeline ausgeführt, kann der Angreifer auf praktisch alle dort erreichbaren Geheimnisse zugreifen – etwa Tokens, SSH-Schlüssel, Cloud-Zugangsdaten, Datenbank-Passwörter und sensible Konfigurationsdaten im Speicher. Damit ist nicht nur das einzelne Build-System betroffen, sondern potenziell die gesamte angebundene Infrastruktur. Besonders gefährdet sind Umgebungen, die die betroffenen GitHub-Actions über veränderliche Versions-Tags statt über feste Commit-Verweise einbinden, da hier unbemerkt manipulierte Inhalte nachgeladen werden konnten.