Attaque en chaîne d’approvisionnement sur Trivy compromet les flux CI/CD
Une attaque en chaîne d’approvisionnement sophistiquée ciblant l’outil de sécurité open-source populaire Trivy a été identifiée par des chercheurs en cybersécurité, permettant aux acteurs malveillants d’infiltrer les pipelines d’intégration continue/déploiement continu (CI/CD) et d’extraire des identifiants cloud critiques, des clés SSH et des jetons API.
Vecteur d’attaque et méthodologie
L’attaque utilise le scanner de sécurité Trivy, largement utilisé pour l’analyse des vulnérabilités des images conteneur dans les environnements de développement. Des chercheurs en cybersécurité ont découvert que les acteurs malveillants ont modifié les versions légítimes de l’outil Trivy afin d’y intégrer des charges utiles malveillantes conçues comme des infostealers. Ces charges sont spécifiquement conçues pour collecter des informations sensibles dans les flux CI/CD où Trivy est intégré.
Impact sur les environnements de développement
Les organisations utilisant Trivy pour l’analyse de sécurité dans leurs pipelines de développement font désormais face à une exposition significative. L’outil compromis permet aux attaquants d’accéder à :
- Identifiants de comptes de services cloud
- Clés privées SSH pour l’accès aux serveurs
- Jetons API et secrets d’authentification
- Variables d’environnement contenant des données de configuration sensibles
Implications en matière de sécurité
Cette attaque démontre comment des outils de sécurité approuvés peuvent être utilisés pour compromettre les environnements de développement. Le logiciel malveillant infostealer opère silencieusement au sein des flux CI/CD, rendant la détection difficile pour les équipes de cybersécurité qui peuvent ne pas immédiatement reconnaître le compromis comme provenant d’un outil légitime.
Recommandations pour la défense
Les organisations devraient mettre en œuvre plusieurs couches de défense, notamment :
- Vérification des signatures numériques et des sommes de contrôle de tous les outils avant déploiement
- Surveillance des activités des pipelines CI/CD pour détecter des motifs inhabituels d’accès aux identifiants
- Mise en place de contrôles d’accès basés sur le principe du moindre privilège pour les environnements de développement
- Réalisation régulière d’audits des installations et mises à jour des outils dans les flux de développement
Réaction de l’industrie et atténuation
Les mainteneurs de Trivy ont publié des versions mises à jour pour corriger la compromission en chaîne d’approvisionnement. Les équipes de cybersécurité sont conseillées de mettre à jour immédiatement leurs installations de Trivy et de réaliser des audits de sécurité approfondis de leurs environnements CI/CD afin d’identifier les indicateurs potentiels de compromission.
Articles connexes
