Ситуация с безопасностью интернета продолжает демонстрировать одну и ту же закономерность: даже зрелые организации систематически игнорируют базовые рекомендации, а окно между обнаружением уязвимости и её реальной эксплуатацией становится всё короче. На этой неделе внимание привлекла масштабная атака на цепочку поставок через популярный сканер уязвимостей Trivy и целый ряд критических CVE, затрагивающих широко используемое программное обеспечение.
Атака на Trivy: компрометация цепочки поставок и CI/CD
Trivy, разрабатываемый компанией Aqua Security, является одним из самых распространённых open source сканеров уязвимостей: более 32 000 звёзд на GitHub и свыше 100 млн загрузок образов на Docker Hub. Именно высокая популярность сделала его привлекательной целью для атакующих.
Злоумышленники сумели скомпрометировать официальные релизы Trivy и связанные с ним GitHub Actions, которые используются в тысячах CI/CD-пайплайнов. В легитимные артефакты было внедрено вредоносное ПО, предназначенное для кражи учётных данных и секретов, применяемых в процессах сборки и развертывания.
Ключевая проблема заключается в том, что многие пострадавшие организации не провели своевременную ротацию скомпрометированных секретов. В результате атака переросла в каскадные компрометации других проектов и инфраструктур, где использовались эти же токены и ключи. По имеющейся информации, это привело к распространению саморазмножающегося вредоносного ПО, получившего название CanisterWorm, ориентированного на дальнейшее распространение по цепочке поставок.
GitHub Actions и уязвимый DevOps-процесс
Инцидент с Trivy вписывается в устойчивый тренд атак на инструменты разработчиков и GitHub Actions. Платформы автоматизации стали критичной частью цепочки поставок ПО, и их компрометация даёт злоумышленникам прямой доступ к исходному коду, инфраструктурным секретам и механизмам поставки обновлений пользователям.
GitHub уже предпринимал шаги по снижению рисков. В частности, в декабре 2025 года была изменена дефолтная логика работы workflows с типом pull_request_target, чтобы усложнить эксплуатацию подобных сценариев атак. Однако инцидент с Trivy показывает, что одних платформенных изменений недостаточно, если организации не выстраивают полноценную модель угроз для своих CI/CD-процессов.
Критические уязвимости недели: что нужно закрыть в первую очередь
По данным отраслевого сообщества, новые уязвимости появляются еженедельно, а срок от публичного раскрытия до начала массовой эксплуатации часто измеряется днями. На этой неделе особое внимание стоит уделить следующим критическим CVE, затрагивающим популярные продукты и уже вызывающим интерес исследователей и атакующих:
CVE-2026-21992 (Oracle), CVE-2026-33017 (Langflow), CVE-2026-32746 (GNU InetUtils telnetd), CVE-2026-32297 и CVE-2026-32298 (Angeet ES3 KVM), CVE-2026-3888 (Ubuntu), CVE-2026-20643 (Apple WebKit), CVE-2026-4276 (LibreChat RAG API), CVE-2026-24291 (известна как RegPwn, Microsoft Windows), CVE-2026-21643 (Fortinet FortiClient), CVE-2026-3864 (Kubernetes), CVE-2026-32635 (Angular), CVE-2026-25769 (Wazuh), CVE-2026-3564 (ConnectWise ScreenConnect), CVE-2026-22557 и CVE-2026-22558 (Ubiquiti), CVE-2025-14986 (Temporal), CVE-2026-31381 и CVE-2026-31382 (Gainsight Assist), CVE-2026-26189 (Trivy), CVE-2026-4439, CVE-2026-4440, CVE-2026-4441 (Google Chrome), CVE-2026-33001 и CVE-2026-33002 (Jenkins), CVE-2026-21570 (Atlassian Bamboo Data Center) и CVE-2026-21884 (Atlassian Crowd Data Center).
Организациям рекомендуется как минимум проверить наличие затронутых продуктов в своей инфраструктуре, приоритизировать обновления и не откладывать установку патчей для наиболее критичных систем — особенно тех, что выходят в интернет или используются в цепочке поставок (CI/CD, системы управления доступом, браузеры, средства удалённого администрирования).
Старые проблемы, новые техники: от IoT до мобильных устройств
Помимо атак на цепочку поставок, продолжается эксплуатация давно известных слабых мест: уязвимые IoT-устройства, открытые каталоги и бакеты с конфиденциальными данными, недостаточная защита мобильных устройств сотрудников. На этом фоне появляется более «терпеливое» и изощрённое вредоносное ПО, рассчитанное на длительное скрытое присутствие в инфраструктуре.
Отдельного внимания заслуживают тихие операции, поддерживаемые государствами, и целевые атаки на организации через неправильно сконфигурированные сервисы и спешно установленные заплатки. Во многих случаях ущерб возникает не из-за уникальности эксплойта, а из-за разрыва между обнаружением проблемы и её фактическим устранением.
Юридические и технические ограничения
Большая часть инструментов для анализа уязвимостей, сканирования инфраструктуры и моделирования атак доступна в открытом доступе и может использоваться как в легитимных целях, так и для атак. Все подобные средства должны применяться строго в рамках закона, только в тестовых или изолированных средах и после тщательной проверки кода. Любое использование в боевой инфраструктуре без аудита повышает риск дополнительной компрометации.
Основной вывод этой недели — проблема не в отдельной уязвимости, а в «разрывах»: между обнаружением и детектированием атаки, между выпуском патча и его внедрением, между знанием о риске и реальными действиями. Большинство инцидентов развивается именно в этих промежутках. Чтобы сократить этот разрыв, стоит уже сейчас: обновить мобильные устройства, пересмотреть все компоненты, связанные с CI/CD и GitHub Actions, выполнить ротацию секретов при малейшем подозрении на утечку и никогда не хранить критичные данные — такие как фразы восстановления криптокошельков — в обычных заметках или незащищённых облачных сервисах. Чем быстрее организации начнут системно закрывать эти базовые вопросы, тем меньше шансов, что следующая новость недели будет о них.
