Zranitelnost v Marimo: Hackeři odcizují cloudové klíče za minuty prostřednictvím otevřeného terminálu
Kritická zranitelnost CVE-2026-39987 v platformě Marimo pro Python notebooky umožnila útočníkům získat vzdálený přístup k systémům bez autorizace. Útoky začaly 10 hodin po odhalení problému s důrazem na odcizení přihlašovacích údajů cloudových služeb.
Technické detaily problému
Zranitelnost postihuje verze Marimo do 0.20.4 a souvisí s koncovým bodem WebSocket /terminal/ws. Tento bod poskytuje interaktivní terminál bez jakýchkoliv kontrol přístupu, což dává útočníkovi práva aktuálního procesu. Hodnocení CVSS — 9,3 z 10, což zdůrazňuje vysoké riziko.
Vývojáři problém zjistili 8. dubna 2026 a rychle vydali záplatu ve verzi 0.23.0. Nicméně v prvních 12 hodinách po zveřejnění Sysdig zaznamenal skenování ze 125 IP adres. První využití nastalo méně než za 10 hodin.
Scénář exploatace a rychlost útoků
Útočníci použili jednoduchou posloupnost:
- Připojení k WebSocketu.
- Kontrola prostředí příkazy
pwd,whoami,ls. - Vyhledání souborů
.enva SSH klíčů. - Stahování proměnných prostředí s klíči cloudových služeb.
Celý proces trval asi 180 sekund. Útoky byly ruční: bez instalace škodlivého softwaru nebo těžařů, s cílem rychlého extrahování dat. Jedna IP se vrátila za hodinu pro opakovanou kontrolu.
Rizika pro vývojáře a data science
Marimo je populární mezi odborníky na analýzu dat a strojové učení kvůli interaktivním Python notebookům. Zranitelnost je obzvlášť kritická při spuštění s --host 0.0.0.0, což otevírá přístup z vnější sítě. To vede ke kompromitaci klíčů AWS, Google Cloud nebo jiných služeb, potenciálně způsobující úniky dat, finanční ztráty nebo řetězové útoky.
Opatření ochrany a doporučení
- Aktualizujte se na verzi 0.23.0 okamžitě.
- Omezte síťový přístup k Marimo.
- Sledujte připojení k
/terminal/ws. - Nahraďte všechny potenciálně kompromitované klíče.
- Používejte VPN nebo firewally pro úpravy.
Co je důležité
- Zranitelnost umožňuje RCE bez autentifikace, ohroženy jsou tisíce vývojářů.
- Útoky startovaly za 10 hodin – rychlost exploatace roste.
- Hlavním cílem jsou tajemství cloudových služeb v souborech
.env. - Záplata vydána, ale skenování pokračuje ze stovek IP.
- Incident zdůrazňuje rizika otevřených nástrojů pro data science.
Kontext a důsledky pro odvětví
Takové zranitelnosti jsou typické pro vývojové nástroje, kde pohodlí konfliktuje s bezpečností. V letech 2025–2026 byly podobné problémy zaznamenány v Jupyter a Streamlit, což vedlo k nárůstu útoků o 40 % podle dat Sysdig. Důsledky: firmy ztrácejí kontrolu nad cloudovými zdroji, což posiluje potřebu modelů zero-trust. Pro Evropu a Latinskou Ameriku je to aktuální kvůli migraci data science do cloudu – úniky mohou porušit GDPR nebo lokální regulace.
— Editorial Team
Zatím žádné komentáře.