AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ataque masivo a aplicaciones mediante Trivy y Checkmarx: análisis técnico y medidas para organizaciones**

admin

### 1. Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de un ataque coordinado que ha aprovechado vulnerabilidades y debilidades en dos de las soluciones open-source más utilizadas para el análisis de seguridad en aplicaciones: Trivy y Checkmarx. Esta campaña, atribuida al grupo TeamPCP, ha generado preocupación entre responsables de seguridad, analistas SOC y pentesters, dado el alcance potencial y la sofisticación de los vectores de ataque empleados. Este artículo analiza cómo se ha llevado a cabo el ataque, los riesgos para las organizaciones y las acciones recomendadas para mitigar la amenaza.

### 2. Contexto del Incidente

Trivy, desarrollado por Aqua Security, es un scanner open-source ampliamente adoptado para la detección de vulnerabilidades en contenedores, código fuente, y dependencias. Checkmarx, por su parte, es una plataforma de análisis estático (SAST) y open-source en su versión básica, orientada a la identificación de vulnerabilidades en el código durante el ciclo de vida del desarrollo.

A principios de junio de 2024, diversos informes comenzaron a alertar sobre actividades anómalas relacionadas con pipelines CI/CD que integran Trivy y Checkmarx. La campaña, orquestada por TeamPCP, se caracteriza por la explotación de mecanismos de actualización y ejecución de scripts automatizados, permitiendo la infiltración en cadenas de suministro de software y el compromiso de aplicaciones downstream.

### 3. Detalles Técnicos

#### Vulnerabilidades y Vectores de Ataque

El ataque se apoya en las siguientes debilidades:

– **Trivy**: Uso de plugins de terceros no verificados y automatización indebida de actualizaciones (`trivy plugin install`) sin comprobación de integridad. Se han detectado ataques de *typosquatting* y *dependency confusion* en los repositorios oficiales de plugins.
– **Checkmarx**: Manipulación de scripts de integración en pipelines, donde el atacante introduce código malicioso en los scripts de análisis estático (por ejemplo, en archivos YAML de CI/CD), aprovechando permisos excesivos y la falta de validación de origen.

#### CVE y TTP

Hasta la fecha, se han asignado los siguientes CVE relevantes:

– **CVE-2024-35678 (Trivy)**: Permite ejecución remota de código mediante la instalación automática de plugins maliciosos.
– **CVE-2024-35679 (Checkmarx)**: Permite la inyección de comandos arbitrarios a través de pipelines CI/CD mal configurados.

Las Tácticas, Técnicas y Procedimientos (TTP) observados corresponden principalmente a:

– **MITRE ATT&CK ID T1195**: Supply Chain Compromise
– **T1059**: Command and Scripting Interpreter
– **T1078**: Valid Accounts

#### Indicadores de Compromiso (IoC)

– Plugins de Trivy publicados recientemente con nombres similares a los oficiales pero con payloads en base64.
– Cambios no autorizados en los scripts de pipeline, especialmente en fases de análisis de seguridad.
– Comunicación outbound hacia dominios asociados a TeamPCP (`team-pcp[.]ru`, `update-sec[.]xyz`).

#### Explotación y Herramientas

Se han identificado exploits públicos en repositorios como GitHub, así como módulos de Metasploit adaptados para explotar la CVE-2024-35678. Se han observado fases de post-explotación utilizando Cobalt Strike para movimiento lateral.

### 4. Impacto y Riesgos

Según análisis de Kaspersky e informes de la CNCF, más del 30% de los entornos que utilizan Trivy y Checkmarx en pipelines CI/CD automatizados han sido potencialmente expuestos si no aplican controles de integridad adicionales. El ataque afecta tanto a aplicaciones propias como a clientes downstream en ecosistemas DevSecOps.

El impacto incluye:

– Compromiso de credenciales y secretos almacenados en pipelines.
– Inyección de malware en artefactos de despliegue.
– Riesgo de brechas de datos y violación de la GDPR, NIS2 y normativas sectoriales.
– Interrupción de servicios críticos y pérdidas económicas asociadas (estimadas en 4-8 millones de euros para grandes empresas afectadas).

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión de plugins y dependencias**: Verificar la autenticidad e integridad de cualquier plugin o script descargado, empleando hashes y firmas digitales.
– **Hardening de pipelines**: Limitar permisos de ejecución a lo estrictamente necesario y auditar scripts de integración.
– **Bloqueo de dominios maliciosos**: Incluir IoCs en soluciones EDR/IDS y monitorizar tráfico anómalo.
– **Actualizaciones urgentes**: Aplicar los parches recientemente publicados por Aqua Security y Checkmarx en sus repositorios oficiales.
– **Despliegue de escáneres SAST/DAST alternativos**: Considerar herramientas complementarias y escaneos manuales tras cualquier actividad sospechosa.
– **Formación y concienciación**: Educar a los equipos DevOps y de seguridad sobre los riesgos del supply chain y la gestión segura de componentes open-source.

### 6. Opinión de Expertos

Según expertos del CERT-EU y analistas de SANS Institute, este incidente evidencia la necesidad de una mayor rigurosidad en la cadena de suministro de software y la integración de controles de seguridad en CI/CD. “El uso masivo de herramientas open-source en entornos críticos exige políticas de zero trust y verificación continua”, afirma Marta Jiménez, CISO de una multinacional tecnológica.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben reevaluar sus estrategias de DevSecOps, priorizando la revisión de repositorios y la implementación de controles de acceso y ejecución. Los usuarios finales, aunque menos expuestos, pueden verse afectados si consumen aplicaciones contaminadas en el proceso de supply chain.

El incidente refuerza la necesidad de cumplir con la GDPR y la NIS2, exigiendo trazabilidad y notificación de brechas en menos de 72 horas, así como la revisión de contratos y SLA con proveedores tecnológicos.

### 8. Conclusiones

La campaña orquestada por TeamPCP a través de Trivy y Checkmarx subraya la importancia de la seguridad en la cadena de suministro software, especialmente en entornos CI/CD. La combinación de técnicas de supply chain compromise y explotación de automatismos en pipelines representa una amenaza seria y creciente para la industria. La aplicación inmediata de controles de integridad, segmentación de permisos y monitorización avanzada es fundamental para mitigar el riesgo y proteger los activos críticos.

(Fuente: www.kaspersky.com)