Scanner trivy comprometido no github actions rouba segredos de ci/cd em segundo ataque
A Trivy, um scanner de vulnerabilidades de código aberto popular mantido pela Aqua Security, foi comprometida pela segunda vez em um mês para entregar malware que rouba segredos sensíveis de CI/CD. O último incidente impactou as ações do GitHub "aquasecurity/trivy-action" e "aquasecurity/setup-trivy", que são usadas para escanear imagens de contêiner Docker em busca de vulnerabilidades e configurar fluxos de trabalho do GitHub Actions.
O que mudou agora
Este é o segundo ataque de comprometimento de cadeia de suprimentos envolvendo a Trivy em um curto espaço de tempo. Os atacantes conseguiram injetar malware nos pacotes de ação do GitHub, permitindo que eles roubassem segredos de CI/CD de projetos que utilizam essas ações. Isso representa uma ameaça significativa para organizações que dependem de pipelines de CI/CD automatizados para desenvolvimento e implantação de software.
Impacto e alcance
O comprometimento da Trivy afeta uma ampla base de usuários que utilizam scanners de vulnerabilidades em seus pipelines de CI/CD. O roubo de segredos de CI/CD pode levar ao acesso não autorizado a repositórios de código, credenciais de nuvem e outros recursos sensíveis. A natureza do ataque permite que os invasores obtenham acesso a múltiplos projetos e organizações que utilizam as ações comprometidas.
Evidências e limites
A Aqua Security confirmou o comprometimento e está trabalhando para mitigar o impacto. Os atacantes utilizaram técnicas de injeção de código malicioso nos pacotes de ação do GitHub para roubar segredos. A extensão do comprometimento ainda está sendo investigada, mas a recomendação imediata é desabilitar as ações afetadas e revisar os pipelines de CI/CD.
Medidas de mitigação recomendadas
Os desenvolvedores e equipes de DevOps devem revisar imediatamente seus pipelines de CI/CD para identificar o uso das ações comprometidas. A desativação das ações "aquasecurity/trivy-action" e "aquasecurity/setup-trivy" é recomendada até que a Aqua Security confirme a segurança das versões atualizadas. Além disso, é essencial revisar os logs de execução para detectar qualquer atividade suspeita.
Implicações regulatórias (LGPD)
No contexto brasileiro, o roubo de segredos de CI/CD pode resultar em vazamento de dados pessoais ou comerciais, o que pode violar a Lei Geral de Proteção de Dados (LGPD). As organizações devem avaliar se os dados comprometidos incluem informações pessoais e, em caso afirmativo, notificar a ANPD e os titulares afetados conforme exigido pela lei.
O que os CISOs devem fazer imediatamente
Os profissionais de segurança devem priorizar a revisão dos pipelines de CI/CD e a desativação das ações comprometidas. A comunicação com as equipes de desenvolvimento é essencial para garantir que a correção seja aplicada sem interromper o fluxo de trabalho. A implementação de verificações de integridade de código e a adoção de práticas de segurança de cadeia de suprimentos são medidas preventivas importantes.
Perguntas frequentes
- Qual é o impacto do comprometimento? Roubo de segredos de CI/CD e acesso não autorizado a repositórios de código.
- Como posso verificar se meu projeto está afetado? Revise os arquivos de workflow do GitHub Actions para identificar o uso das ações comprometidas.
- Quando a Aqua Security corrigirá o problema? A empresa está trabalhando para mitigar o impacto e fornecer atualizações de segurança.