Alerta de Seguridad: Vulnerabilidad de Código Malicioso Embebido en Aquasecurity Trivy (CVE-2026-33634)

Aquasecurity Trivy, una herramienta de código abierto para escaneo de vulnerabilidades en contenedores y artefactos de software, contiene una vulnerabilidad de código malicioso embebido (CWE-506) derivada de un compromiso en la cadena de suministro. Esta falla implica la inclusión inadvertida de código malicioso en el binario o dependencias de Trivy, lo que se activa durante su ejecución en entornos CI/CD. El exploit funciona mediante la ejecución del código embebido, que accede a la memoria del proceso para extraer datos sensibles como tokens de autenticación, claves SSH privadas, credenciales de cloud (AWS, Azure, GCP), contraseñas de bases de datos y configuraciones en memoria. El impacto potencial es severo, permitiendo a atacantes comprometer toda la infraestructura conectada, exfiltrar datos confidenciales y persistir en la red, facilitando ataques posteriores como ransomware o espionaje industrial. Como se detalla en el advisory de CISA, esta vulnerabilidad afecta múltiples productos y entornos que integran Trivy.

• Seguir las instrucciones del vendor en el advisory GHSA-69fq-xp46-6x23 para aplicar mitigaciones específicas, incluyendo la eliminación de versiones afectadas de Trivy.
• Actualizar a versiones parcheadas de Trivy una vez disponibles, verificando integridad mediante hashes oficiales.
• Implementar guías BOD 22-01 de CISA para servicios cloud, como segmentación de credenciales y monitoreo de accesos en CI/CD.
• Si no hay mitigaciones disponibles, discontinuar el uso de Trivy y migrar a alternativas seguras como Clair o Snyk.
• Realizar escaneos forenses en logs de CI/CD y rotar todas las credenciales expuestas potencialmente.