CVE詳細 - CVE-2026-33634-

CVE-2026-33634 の詳細

CVEの情報

説明:
Trivy is a security scanner. On March 19, 2026, a threat actor used compromised credentials to publish a malicious Trivy v0.69.4 release, force-push 76 of 77 version tags in `aquasecurity/trivy-action` to credential-stealing malware, and replace all 7 tags in `aquasecurity/setup-trivy` with malicious commits. This incident is a continuation of the supply chain attack that began in late February 2026. Following the initial disclosure on March 1, credential rotation was performed but was not atomic (not all credentials were revoked simultaneously). The attacker could have use a valid token to exfiltrate newly rotated secrets during the rotation window (which lasted a few days). This could have allowed the attacker to retain access and execute the March 19 attack. Affected components include the `aquasecurity/trivy` Go / Container image version 0.69.4, the `aquasecurity/trivy-action` GitHub Action versions 0.0.1 – 0.34.2 (76/77), and the`aquasecurity/setup-trivy` GitHub Action versions 0.2.0 – 0.2.6, prior to the recreation of 0.2.6 with a safe commit. Known safe versions include versions 0.69.2 and 0.69.3 of the Trivy binary, version 0.35.0 of trivy-action, and version 0.2.6 of setup-trivy. Additionally, take other mitigations to ensure the safety of secrets. If there is any possibility that a compromised version ran in one's environment, all secrets accessible to affected pipelines must be treated as exposed and rotated immediately. Check whether one's organization pulled or executed Trivy v0.69.4 from any source. Remove any affected artifacts immediately. Review all workflows using `aquasecurity/trivy-action` or `aquasecurity/setup-trivy`. Those who referenced a version tag rather than a full commit SHA should check workflow run logs from March 19–20, 2026 for signs of compromise. Look for repositories named `tpcp-docs` in one's GitHub organization. The presence of such a repository may indicate that the fallback exfiltration mechanism was triggered and secrets were successfully stolen. Pin GitHub Actions to full, immutable commit SHA hashes, don't use mutable version tags.

CVE更新日: 2026-03-23 22:16:31.290000

CVSSバージョン: 4.0

CVSSスコア: 9.4

KEVの情報

KEV更新日: 2026-03-26

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.211530000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: low

Automatable: False

AIを使った解説

解説:

CVE-2026-33634に関する脆弱性の調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2026-33634は、Aqua Securityが開発するオープンソースのセキュリティスキャナ「Trivy」およびその関連GitHub Actionsに影響を与えるサプライチェーン攻撃に関する深刻な脆弱性です。攻撃者は侵害された認証情報を使用して、悪意のあるコードをTrivyの公式配布チャネルに混入させました。

1.1 影響

この脆弱性が悪用された場合、CI/CD (Continuous Integration/Continuous Deployment) 環境内のトークン、SSHキー、クラウド認証情報、データベースパスワード、メモリ上の機密設定など、あらゆる機密情報が窃取される可能性があります。また、影響を受けたソフトウェアが扱う情報が外部に漏洩したり、書き換えられたり、ソフトウェアが完全に停止したりする可能性もあります。

1.2 深刻度

本脆弱性は、米国のCISA（Cybersecurity and Infrastructure Security Agency）によって「深刻な脆弱性」とされており、Known Exploited Vulnerabilities (KEV) カタログに緊急追加されています。これは、実際に悪用が確認されていることを示しており、高いリスクを伴います。

2. 対象となる環境

2.1 影響を受けるOSバージョン

不明

2.2 影響を受ける設定

以下のAqua Security製コンポーネントが影響を受けます。 * aquasecurity/trivy Go / コンテナイメージバージョン 0.69.4 * aquasecurity/trivy-action GitHub Action バージョン 0.0.1 ～ 0.34.2 (77タグ中76タグが悪意のあるものに改ざん) * aquasecurity/setup-trivy GitHub Action バージョン 0.2.0 ～ 0.2.6 (安全なコミットで再作成される前の全7タグが悪意のあるものに改ざん)

特に、完全かつ不変のコミットSHAハッシュではなく、可変のバージョンタグを参照しているGitHub Actionsを利用しているワークフローが影響を受けやすいとされています。

3. 影響を受けた時の兆候

2026年3月19日から20日までのワークフロー実行ログを確認し、侵害の兆候を探します。
GitHub組織内にtpcp-docsという名前のリポジトリがないか確認します。このリポジトリが存在する場合、フォールバックのデータ抜き出しメカニズムがトリガーされた可能性があります。
Trivy v0.69.4を任意のソースからプルまたは実行した組織は、侵害の有無を調査する必要があります。

4. 推奨対策

4.1 本対策

setup-trivyコンポーネントをバージョン0.2.6以降にアップグレードしてください。
trivy-actionコンポーネントをバージョン0.35.0以降にアップグレードしてください。
影響を受ける可能性のあるアーティファクトは直ちに削除してください。
影響を受けたパイプラインからアクセス可能なすべてのシークレット（認証情報）を直ちにローテーションしてください。
GitHub Actionsを参照する際は、可変のバージョンタグではなく、完全で不変のコミットSHAハッシュに固定して使用するようにしてください。
既知の安全なバージョンとして、Trivyバイナリのバージョン0.69.2および0.69.3が挙げられています。

4.2 暫定回避策（緩和策）

ベンダーの指示に従って緩和策を適用するか、クラウドサービスに適用されるBOD 22-01ガイダンスに従ってください。
緩和策が利用できない場合は、製品の使用を中止してください。
今回の攻撃では、2026年3月1日に認証情報のローテーションが行われたものの、それがアトミックでなかったため、攻撃者はローテーション期間中にアクセスを維持し、攻撃を実行できた可能性があります。このことから、アトミックな認証情報ローテーションの重要性が浮き彫りになっています。

その他解説すべき観点

攻撃の性質: 本脆弱性は、CI/CD環境を標的としたサプライチェーン攻撃であり、開発プロセスに悪意のあるコードを注入することで、広範囲に被害を及ぼす可能性があります。
攻撃者: 脅威アクターが漏洩した認証情報を用いて不正なリリースを公開し、悪意のあるプログラムを配布しました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る