Powrót do strony głównej

Luka Marimo CVE-2026-39987: kradzież kluczy w 3 minuty

Krytyczna luka CVE-2026-39987 w Marimo pozwala na zdalne wykonywanie kodu przez otwarty terminal WebSocket. Złoczyńcy kradną klucze chmurowe w minuty, ataki zarejestrowane przez Sysdig. Zaleca się natychmiastową aktualizację i zmianę sekretów w celu minimalizacji ryzyka.

Hakerzy włamują się do Marimo w 180 sekund: szczegóły luki
Advertisement 728x90

Usterka w Marimo: Hakerzy kradną klucze chmurowe w minuty przez otwarty terminal

Krytyczna usterka CVE-2026-39987 w platformie Marimo dla notatników Pythona pozwoliła napastnikom na uzyskanie zdalnego dostępu do systemów bez autoryzacji. Ataki rozpoczęły się zaledwie 10 godzin po ujawnieniu problemu, skupiając się na kradzieży danych uwierzytelniających usług chmurowych.

Techniczne szczegóły problemu

Usterka dotyczy wersji Marimo przed 0.20.4 i wiąże się z punktem końcowym WebSocket /terminal/ws. Punkt ten udostępnia interaktywny terminal bez jakiejkolwiek weryfikacji uprawnień, co daje napastnikowi pełne prawa procesu bieżącego. Ocena CVSS wynosi 9,3 z 10, co wskazuje na bardzo wysokie ryzyko.

Twórcy wykryli problem 8 kwietnia 2026 roku i szybko wydali poprawkę w wersji 0.23.0. Jednak w pierwszych 12 godzinach po publikacji firma Sysdig zarejestrowała skanowanie z 125 adresów IP. Pierwsza eksploatacja miała miejsce mniej niż 10 godzin później.

Google AdInline article slot

Scenariusz eksploatacji i szybkość ataków

Napastnicy zastosowali prostą sekwencję działań:

  • Połączenie z protokołem WebSocket.
  • Sprawdzenie środowiska poleceniami pwd, whoami, ls.
  • Wyszukiwanie plików .env oraz kluczy SSH.
  • Pobranie zmiennych środowiskowych zawierających klucze usług chmurowych.

Cały proces zajmował około 180 sekund. Ataki były przeprowadzane ręcznie: bez instalowania złośliwego oprogramowania czy koparek, z celem szybkiego wydobycia danych. Jeden adres IP powrócił po godzinie, aby sprawdzić ponownie status.

Ryzyka dla programistów i specjalistów ds. danych

Marimo jest popularne wśród analityków danych i ekspertów uczenia maszynowego dzięki interaktywnym notatnikom Pythona. Usterka jest szczególnie krytyczna podczas uruchamiania z parametrem --host 0.0.0.0, co otwiera dostęp z sieci zewnętrznej. Prowadzi to do kompromitacji kluczy AWS, Google Cloud lub innych serwisów, potencjalnie wywołując wycieki danych, straty finansowe lub ataki łańcuchowe.

Google AdInline article slot

Środki ochrony i rekomendacje

  • Zaktualizuj się do wersji 0.23.0 natychmiast.
  • Ogranicz dostęp sieciowy do aplikacji Marimo.
  • Monitoruj połączenia do endpointu /terminal/ws.
  • Zamień wszystkie potencjalnie skompromitowane klucze.
  • Stosuj VPN lub zapory ogniowe podczas edycji.

Kluczowe wnioski

  • Usterka umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelniania, zagrożonych są tysiące programistów.
  • Ataki ruszyły po 10 godzinach – tempo eksploatacji rośnie.
  • Głównym celem są sekrety usług chmurowych przechowywane w plikach .env.
  • Poprawka została wydana, ale skanowanie trwa z setek adresów IP.
  • Incydent podkreśla ryzyka związane z otwartymi narzędziami dla data science.

Kontekst i konsekwencje dla branży

Tego typu usterki są typowe dla narzędzi deweloperskich, gdzie wygoda użytkownika często konfliktuje z bezpieczeństwem. W latach 2025–2026 podobne problemy odnotowano w Jupyter i Streamlit, co doprowadziło do wzrostu liczby ataków o 40% według danych Sysdig. Skutki obejmują utratę kontroli firm nad zasobami chmurowymi, co zwiększa potrzebę wdrożenia modeli zero trust. Dla Europy i Ameryki Łacińskiej kwestia ta jest istotna ze względu na migrację obszarów data science do chmury – wycieki mogą naruszać przepisy GDPR lub lokalne regulacje.

— Editorial Team

Advertisement 728x90

Czytaj dalej