Zurück zur Startseite

Marimo CVE-2026-39987 Schwachstelle: Schlüssel-Diebstahl in 3 Minuten

Kritische CVE-2026-39987-Schwachstelle in Marimo ermöglicht Remote-Code-Ausführung über offenes WebSocket-Terminal. Angreifer stehlen Cloud-Schlüssel in Minuten, Angriffe von Sysdig aufgezeichnet. Sofortiges Update und Änderung von Geheimnissen empfohlen, um Risiken zu minimieren.

Hacker knacken Marimo in 180 Sekunden: Schwachstellen-Details
Advertisement 728x90

Kritische Marimo-Lücke: Hacker stehlen Cloud-Schlüssel in Minuten über offenes Terminal

Ein kritischer Sicherheitsfehler mit der Kennung CVE-2026-39987 im Python-Notebook-Tool Marimo ermöglichte Angreifern den unbefugten Remote-Zugriff auf Systeme. Die Angriffe begannen bereits zehn Stunden nach der Veröffentlichung des Problems und richteten sich gezielt auf die Entwendung von Zugangsdaten für Cloud-Dienste.

Technische Details zur Lücke

Die Schwachstelle betrifft alle Marimo-Versionen vor 0.20.4 und ist mit dem WebSocket-Endpunkt /terminal/ws verknüpft. Dieser Endpunkt bietet einen interaktiven Terminalzugang ohne jegliche Zugriffssteuerung und gewährt dem Angreifer die Rechte des aktuellen Prozesses. Der CVSS-Score liegt bei 9,3 von 10 – ein deutliches Zeichen für ein extrem hohes Risiko.

Entwickler identifizierten den Fehler am 8. April 2026 und veröffentlichten schnell eine Korrektur in Version 0.23.0. Doch bereits innerhalb der ersten 12 Stunden nach der Veröffentlichung registrierte Sysdig Scanning-Aktivitäten von 125 IP-Adressen. Der erste erfolgreiche Exploit erfolgte in weniger als zehn Stunden.

Google AdInline article slot

Ausnutzungsszenario und Angriffsgeschwindigkeit

Angreifer nutzten eine einfache Vorgehensweise:

  • Verbindung zum WebSocket herstellen.
  • Umgebung mittels pwd, whoami, ls überprüfen.
  • Nach .env-Dateien und SSH-Schlüsseln suchen.
  • Umgebungsvariablen mit Cloud-Zugangsdaten auslesen.

Der gesamte Prozess dauerte etwa 180 Sekunden. Die Angriffe waren manuell ausgeführt – ohne Installation von Malware oder Mining-Software – mit Fokus auf schnelle Datenextraktion. Eine IP-Adresse meldete sich eine Stunde später erneut zurück, um nachzuprüfen, ob weitere Daten verfügbar waren.

Risiken für Entwickler und Data Scientists

Marimo ist bei Datenanalysten und Machine-Learning-Experten beliebt, da es interaktive Python-Notebooks unterstützt. Die Lücke ist besonders gefährlich, wenn das Tool mit dem Parameter --host 0.0.0.0 gestartet wird, was den Zugriff von außen ermöglicht. Dadurch droht die Kompromittierung von AWS-, Google Cloud- oder anderen Dienstschlüsseln – mit Folgen wie Datenlecks, finanziellen Verlusten oder Kettenangriffen.

Google AdInline article slot

Schutzmaßnahmen und Empfehlungen

  • Sofortige Aktualisierung auf Version 0.23.0.
  • Einschränkung des Netzwerkzugriffs auf Marimo.
  • Überwachung von Verbindungen zu /terminal/ws.
  • Alle potenziell kompromittierten Schlüssel rotieren.
  • Nutzung von VPNs oder Firewalls beim Bearbeiten sensibler Inhalte.

Wichtige Erkenntnisse

  • Die Lücke ermöglicht Remote-Code-Ausführung ohne Authentifizierung und gefährdet Tausende Entwickler.
  • Angriffe begannen zehn Stunden nach Bekanntmachung – die Ausnutzungszeit verkürzt sich stetig.
  • Hauptziel sind Cloud-Zugangsdaten in .env-Dateien.
  • Ein Patch ist verfügbar, doch Scanning-Aktivitäten von Hunderten von IPs gehen weiter.
  • Der Vorfall unterstreicht die Gefahren offener Tools im Bereich Data Science.

Kontext und Branchenrelevanz

Solche Schwachstellen sind typisch für Entwicklungstools, bei denen Benutzerfreundlichkeit oft mit Sicherheit kollidiert. In den Jahren 2025 bis 2026 wurden vergleichbare Probleme bei Jupyter und Streamlit dokumentiert, was laut Sysdig zu einem Anstieg der Angriffe um 40 % führte. Folgen sind Unternehmen, die ihre Cloud-Ressourcen verlieren, was die Notwendigkeit von Zero-Trust-Modellen verstärkt. Für Europa und Lateinamerika ist dies besonders relevant, da die Migration von Data Science in die Cloud zunimmt – Verstöße könnten die GDPR oder lokale Datenschutzgesetze verletzen.

— Editorial Team

Advertisement 728x90

Weiterlesen