AgenceEvana
Retour aux bulletins
Moyenne2024-05-20CVSS 5.5CVE-2024-35192 (2024-05-20)trivycredentialscontainerregistry

Trivy — Fuite de credentials lors du scan de registres malveillants

Une faille dans Trivy permet à des attaquants d'extraire les credentials légitimes de registres cloud lorsque Trivy scanne des images depuis un registre malveillant.

Contexte

Trivy transmet des credentials d'authentification lors du scan d'images conteneur directement depuis un registre. Une faille référencée CVE-2024-35192 (GHSA-xcq4-m2r3-cmrj, CWE-522) permet à un registre contrôlé par un attaquant d'intercepter ces credentials.

Vulnérabilité

Lorsque Trivy scanne des images conteneur directement depuis un registre, il transmet les credentials d'authentification via une méthode susceptible d'interception. Un attaquant peut exploiter cette faille en :

  1. Mettant en place un registre conteneur malveillant.
  2. Amenant la cible à scanner une image hébergée sur ce registre (par exemple via une pull request référençant l'image malveillante).

Si le système cible dispose de credentials cloud valides accessibles via les chaînes de fournisseurs par défaut, ceux-ci sont exposés :

  • AWS : variables d'environnement, rôles EKS/IRSA
  • GCP : Application Default Credentials
  • Azure : credentials d'identité managée

Impact

  • Les credentials compromis pourraient permettre à l'attaquant de pousser ou récupérer des images depuis les registres légitimes de la victime (AWS ECR, GCP Artifact/Container Registry, Azure ACR).
  • Seul le scan d'images directement depuis les registres est affecté — le scan d'images récupérées localement via Docker ou containerd n'est pas concerné.

Remédiation

  1. Mettre à jour vers Trivy v0.51.2 ou ultérieur, qui corrige la gestion des credentials.
  2. Restreindre le scan d'images aux registres de confiance uniquement.
  3. Utiliser le flag --image-src pour imposer le scan depuis des sources de confiance.