Zpět na domů

Zranitelnost Marimo CVE-2026-39987: krádež klíčů za 3 minuty

Kritická zranitelnost CVE-2026-39987 v Marimo umožňuje vzdálené spuštění kódu přes otevřený WebSocket-terminál. Zlošiny kradou cloudové klíče za minuty, útoky zaznamenala Sysdig. Doporučuje se okamžité aktualizování a změna tajemství k minimalizaci rizik.

Hackeři lámou Marimo za 180 sekund: detaily zranitelnosti
Advertisement 728x90

Zranitelnost v Marimo: Hackeři odcizují cloudové klíče za minuty prostřednictvím otevřeného terminálu

Kritická zranitelnost CVE-2026-39987 v platformě Marimo pro Python notebooky umožnila útočníkům získat vzdálený přístup k systémům bez autorizace. Útoky začaly 10 hodin po odhalení problému s důrazem na odcizení přihlašovacích údajů cloudových služeb.

Technické detaily problému

Zranitelnost postihuje verze Marimo do 0.20.4 a souvisí s koncovým bodem WebSocket /terminal/ws. Tento bod poskytuje interaktivní terminál bez jakýchkoliv kontrol přístupu, což dává útočníkovi práva aktuálního procesu. Hodnocení CVSS — 9,3 z 10, což zdůrazňuje vysoké riziko.

Vývojáři problém zjistili 8. dubna 2026 a rychle vydali záplatu ve verzi 0.23.0. Nicméně v prvních 12 hodinách po zveřejnění Sysdig zaznamenal skenování ze 125 IP adres. První využití nastalo méně než za 10 hodin.

Google AdInline article slot

Scénář exploatace a rychlost útoků

Útočníci použili jednoduchou posloupnost:

  • Připojení k WebSocketu.
  • Kontrola prostředí příkazy pwd, whoami, ls.
  • Vyhledání souborů .env a SSH klíčů.
  • Stahování proměnných prostředí s klíči cloudových služeb.

Celý proces trval asi 180 sekund. Útoky byly ruční: bez instalace škodlivého softwaru nebo těžařů, s cílem rychlého extrahování dat. Jedna IP se vrátila za hodinu pro opakovanou kontrolu.

Rizika pro vývojáře a data science

Marimo je populární mezi odborníky na analýzu dat a strojové učení kvůli interaktivním Python notebookům. Zranitelnost je obzvlášť kritická při spuštění s --host 0.0.0.0, což otevírá přístup z vnější sítě. To vede ke kompromitaci klíčů AWS, Google Cloud nebo jiných služeb, potenciálně způsobující úniky dat, finanční ztráty nebo řetězové útoky.

Google AdInline article slot

Opatření ochrany a doporučení

  • Aktualizujte se na verzi 0.23.0 okamžitě.
  • Omezte síťový přístup k Marimo.
  • Sledujte připojení k /terminal/ws.
  • Nahraďte všechny potenciálně kompromitované klíče.
  • Používejte VPN nebo firewally pro úpravy.

Co je důležité

  • Zranitelnost umožňuje RCE bez autentifikace, ohroženy jsou tisíce vývojářů.
  • Útoky startovaly za 10 hodin – rychlost exploatace roste.
  • Hlavním cílem jsou tajemství cloudových služeb v souborech .env.
  • Záplata vydána, ale skenování pokračuje ze stovek IP.
  • Incident zdůrazňuje rizika otevřených nástrojů pro data science.

Kontext a důsledky pro odvětví

Takové zranitelnosti jsou typické pro vývojové nástroje, kde pohodlí konfliktuje s bezpečností. V letech 2025–2026 byly podobné problémy zaznamenány v Jupyter a Streamlit, což vedlo k nárůstu útoků o 40 % podle dat Sysdig. Důsledky: firmy ztrácejí kontrolu nad cloudovými zdroji, což posiluje potřebu modelů zero-trust. Pro Evropu a Latinskou Ameriku je to aktuální kvůli migraci data science do cloudu – úniky mohou porušit GDPR nebo lokální regulace.

— Editorial Team

Advertisement 728x90

Číst dál