Marimo kihasználása
A Sysdig által publikált elemzés egy kritikus, CVE-2026-39987 azonosítójú sérülékenységet mutat be a Marimo nevű nyílt forráskódú Python notebook környezetben, amely extrém gyors kihasználási ciklust demonstrál. A hiba egy pre-authentication RCE, amely lehetővé teszi, hogy egy támadó hitelesítés nélkül teljes parancssori hozzáférést szerezzen a célrendszerhez. A sérülékenység a /terminal/ws WebSocket végpontban található, ahol teljes mértékben hiányzik az autentikációs ellenőrzés, így egyetlen kapcsolatfelvétel elegendő a rendszer kompromittálásához.
A time-to-exploit rendkívül rövid volt, a nyilvános bejelentést követően mindössze 9 óra 41 percen belül megjelent az első aktív kihasználás, és egy teljes credential-lopási művelet kevesebb mint 3 perc alatt lezajlott. Ez különösen figyelemre méltó annak fényében, hogy nem állt rendelkezésre publikus PoC, a támadó kizárólag a biztonsági advisory alapján fejlesztette ki az exploitot.
A támadási lánc során a fenyegető szereplő először validálta a sérülékenységet, majd manuálisan feltérképezte a rendszert. A fókusz gyorsan a .env fájlokra, SSH kulcsokra és egyéb érzékeny konfigurációkra helyeződött, amelyek tipikusan API kulcsokat, felhő hozzáféréseket és adatbázis hitelesítő adatokat tartalmaznak. Ez jól mutatja az identity- és credential-centrikus támadások dominanciáját, ahol a cél nem feltétlenül a perzisztencia, hanem a gyors adatkinyerés és laterális mozgás előkészítése.
A Marimo különösen érzékeny célpont, mivel gyakran adatkutatási és AI fejlesztési környezetekben használják, amelyek közvetlen hozzáféréssel rendelkeznek felhő erőforrásokhoz, API-khoz és nagy értékű adatkészletekhez. Egy sikeres kompromittáció így nem izolált incidens, hanem ugródeszka lehet teljes infrastruktúrák felé.
