Vulnérabilité critique Marimo : les hackers volent des clés cloud en quelques minutes via un terminal ouvert
Une vulnérabilité critique CVE-2026-39987 dans la plateforme de notebooks Python Marimo a permis aux attaquants d’obtenir un accès distant non autorisé aux systèmes. Les attaques ont commencé à peine 10 heures après la divulgation du problème, ciblant principalement le vol de credentials pour services cloud.
Détails techniques de l'incident
Cette faille concerne les versions de Marimo antérieures à 0.20.4 et est liée au point d’accès WebSocket /terminal/ws. Cet endpoint fournit un terminal interactif sans aucun contrôle d’accès, donnant à l’attaquant les privilèges du processus en cours. Le score CVSS s’élève à 9,3 sur 10, soulignant un risque majeur.
Les développeurs ont identifié le problème le 8 avril 2026 et ont publié rapidement un correctif dans la version 0.23.0. Toutefois, dans les 12 premières heures suivant la publication, Sysdig a détecté des activités de balayage provenant de 125 adresses IP. La première exploitation a eu lieu en moins de 10 heures.
Scénario d’exploitation et vitesse d’attaque
Les attaquants ont utilisé une séquence simple :
- Se connecter au WebSocket.
- Vérifier l’environnement avec les commandes
pwd,whoami,ls. - Chercher des fichiers
.envet des clés SSH. - Extraire les variables d’environnement contenant les clés des services cloud.
L’ensemble du processus a pris environ 180 secondes. Les attaques étaient manuelles : aucune installation de logiciels malveillants ni de minage n’a été observé, l’objectif étant une extraction rapide des données. Une adresse IP s’est même reconnectée une heure plus tard pour vérifier si des informations supplémentaires étaient disponibles.
Risques pour les développeurs et les data scientists
Marimo est populaire auprès des analystes de données et des spécialistes du machine learning grâce à ses notebooks Python interactifs. La vulnérabilité est particulièrement critique lorsqu’il est exécuté avec l’option --host 0.0.0.0, qui ouvre l’accès depuis les réseaux externes. Cela peut entraîner la compromission des clés AWS, Google Cloud ou d’autres services, menant à des fuites de données, des pertes financières ou des attaques en chaîne.
Mesures de protection et recommandations
- Mettre à jour immédiatement vers la version 0.23.0.
- Restreindre l’accès réseau à Marimo.
- Surveiller les connexions vers
/terminal/ws. - Renouveler toutes les clés potentiellement compromises.
- Utiliser des VPNs ou des pare-feu pour l’édition.
Points clés à retenir
- La faille permet un RCE sans authentification, mettant en danger des milliers de développeurs.
- Les attaques ont commencé 10 heures après la divulgation — la vitesse d’exploitation augmente.
- La cible principale est les secrets cloud stockés dans les fichiers
.env. - Un correctif est disponible, mais le balayage continue depuis des centaines d’adresses IP.
- L’incident souligne les risques liés aux outils ouverts pour la science des données.
Contexte et implications sectorielles
De telles vulnérabilités sont fréquentes dans les outils de développement où la commodité entre en conflit avec la sécurité. En 2025–2026, des problèmes similaires ont été signalés dans Jupyter et Streamlit, entraînant une augmentation de 40 % des attaques selon Sysdig. Les conséquences incluent la perte de contrôle par les entreprises sur leurs ressources cloud, renforçant ainsi la nécessité de modèles zero-trust. Pour l’Europe et l’Amérique latine, cela revêt une importance particulière en raison du transfert croissant de la science des données vers le cloud — les violations pourraient violer le RGPD ou les réglementations locales.
— Editorial Team
Aucun commentaire pour le moment.