Foto: Wikimedia Commons (Public domain)
Sigurnosni istraživači upozoravaju da se kritična ranjivost u otvorenokôdnoj platformi Marimo za reaktivne Python bilježnice aktivno iskorištava samo nekoliko sati nakon javnog otkrivanja. Riječ je o pre-autentifikacijskoj grešci za udaljeno izvršavanje koda, označenoj kao CVE-2026-39987, koju je GitHub ocijenio s kritičnom ocjenom 9,3 od 10.
Prema nalazima tvrtke Sysdig, napadači su iz javno objavljenih tehničkih detalja brzo sastavili funkcionalan exploit i već u prvim napadima krenuli u krađu osjetljivih podataka. Marimo je alat koji koriste podatkovni znanstvenici, ML/AI praktičari, istraživači i developeri za izradu podatkovnih aplikacija i nadzornih ploča, a projekt je do sada prikupio oko 20.000 zvjezdica na GitHubu i 1.000 forkova.
Ranjivost je povezana s WebSocket endpointom /terminal/ws, koji je otkrivao interaktivni terminal bez odgovarajuće provjere autentifikacije. To je napadaču omogućavalo izravni pristup shellu s istim ovlastima kao i sam Marimo proces, bez prijave u sustav. Prema opisu sigurnosnog tima, problem pogađa korisnike koji su Marimo pokretali kao uređive bilježnice te one koji su ga izlagali zajedničkoj mreži pomoću parametra –host 0.0.0.0 u edit modu.
Marimo je propust javno objavio 8. travnja, a popravak je stigao u verziji 0.23.0, objavljenoj dan kasnije. Istraživači navode da su unutar prvih 12 sati nakon objave detalja zabilježili 125 IP adresa koje su krenule u izviđanje. Prvi pokušaj stvarne eksploatacije u kampanji krađe vjerodajnica zabilježen je manje od 10 sati nakon otkrivanja ranjivosti.
Napadač je najprije provjerio ranjivost spajanjem na /terminal/ws i kratkim skriptiranim slijedom potvrdio da može izvršavati naredbe. Nakon toga se ponovno spojio, krenuo u ručno izviđanje i koristio osnovne naredbe poput pwd, whoami i ls kako bi stekao uvid u okruženje. Zatim je prešao na traženje vjerodajnica, ciljao .env datoteku i iz nje izvlačio varijable okruženja, uključujući cloud vjerodajnice i tajne aplikacije.
Cijela faza krađe vjerodajnica trajala je manje od tri minute. Istraživači procjenjuju da se radilo o metodološkom napadaču koji je radio ručno, a ne o automatiziranim skriptama, jer je fokus bio na visokovrijednim ciljevima poput .env podataka i SSH ključeva. Napadači nisu pokušali uspostaviti trajni pristup, postaviti kriptomajner ili backdoor, što upućuje na brzu i diskretnu operaciju.
Korisnicima Marima preporučuje se trenutačna nadogradnja na verziju 0.23.0, nadzor WebSocket veza prema /terminal/ws, ograničavanje vanjskog pristupa putem vatrozida i rotacija svih potencijalno izloženih tajni. Ako nadogradnja nije moguća, učinkovita mjera ublažavanja je potpuno blokiranje ili onemogućavanje pristupa endpointu /terminal/ws.
Vezane vijesti
