Volver al inicio

Vulnerabilidad Marimo CVE-2026-39987: Robo de Claves en 3 Minutos

Vulnerabilidad Crítica CVE-2026-39987 en Marimo Permite Ejecución Remota de Código vía Terminal WebSocket Abierta. Atacantes Roban Claves de Nube en Minutos, Ataques Registrados por Sysdig. Se Recomienda Actualización Inmediata y Cambio de Secretos para Minimizar Riesgos.

Hackers Hackean Marimo en 180 Segundos: Detalles de la Vulnerabilidad
Advertisement 728x90

Vulnerabilidad Crítica en Marimo: Hackers Roban Claves de Nube en Minutos a través de Terminal Abierta

Una vulnerabilidad crítica CVE-2026-39987 en la plataforma de cuadernos interactivos Marimo permitió a los atacantes obtener acceso remoto no autorizado a sistemas. Los ataques comenzaron apenas 10 horas después de que se reveló el problema, centrándose en el robo de credenciales de servicios en la nube.

Detalles Técnicos del Problema

La vulnerabilidad afecta a versiones de Marimo anteriores a la 0.20.4 y está vinculada al punto final WebSocket /terminal/ws. Este endpoint proporciona una terminal interactiva sin controles de acceso, otorgando al atacante los privilegios del proceso actual. La puntuación CVSS es de 9.3 sobre 10, lo que resalta un riesgo grave.

Los desarrolladores identificaron el problema el 8 de abril de 2026 y lanzaron una corrección inmediata en la versión 0.23.0. Sin embargo, dentro de las primeras 12 horas tras su publicación, Sysdig detectó actividad de escaneo desde 125 direcciones IP. La primera explotación ocurrió en menos de 10 horas.

Google AdInline article slot

Escenario de Explotación y Velocidad del Ataque

Los atacantes siguieron una secuencia sencilla:

  • Conectarse al WebSocket.
  • Verificar el entorno con comandos pwd, whoami, ls.
  • Buscar archivos .env y claves SSH.
  • Extraer variables de entorno que contienen claves de servicios en la nube.

El proceso completo tardó aproximadamente 180 segundos. Los ataques fueron manuales: sin instalar malware ni mineros, enfocados en extraer datos rápidamente. Una dirección IP volvió a revisar una hora después.

Riesgos para Desarrolladores y Científicos de Datos

Marimo es popular entre analistas de datos y especialistas en aprendizaje automático por sus cuadernos interactivos de Python. La vulnerabilidad es especialmente crítica cuando se ejecuta con --host 0.0.0.0, lo que abre acceso desde redes externas. Esto puede comprometer claves de AWS, Google Cloud u otros servicios, provocando brechas de datos, pérdidas financieras o ataques en cadena.

Google AdInline article slot

Medidas de Protección y Recomendaciones

  • Actualiza inmediatamente a la versión 0.23.0.
  • Restringe el acceso de red a Marimo.
  • Monitorea las conexiones a /terminal/ws.
  • Rota todas las claves potencialmente comprometidas.
  • Usa VPNs o firewalls al editar contenido.

Conclusiones Clave

  • La vulnerabilidad permite ejecución remota de código (RCE) sin autenticación, poniendo en riesgo a miles de desarrolladores.
  • Los ataques comenzaron 10 horas tras la divulgación: la velocidad de explotación sigue aumentando.
  • El objetivo principal son secretos de servicios en la nube almacenados en archivos .env.
  • Se ha lanzado una corrección, pero el escaneo continúa desde cientos de IPs.
  • El incidente evidencia los riesgos de herramientas abiertas en ciencia de datos.

Contexto e Implicaciones para la Industria

Estas vulnerabilidades son típicas en herramientas de desarrollo donde la conveniencia entra en conflicto con la seguridad. En 2025–2026, se registraron problemas similares en Jupyter y Streamlit, lo que generó un aumento del 40% en los ataques según Sysdig. Las consecuencias incluyen la pérdida de control sobre recursos en la nube, reforzando la necesidad de modelos de confianza cero. Para Europa y América Latina, esto es relevante debido a la migración de la ciencia de datos hacia la nube: las brechas podrían violar el GDPR o regulaciones locales.

— Editorial Team

Advertisement 728x90

Leer después