A Marimo új sebezhetősége már a titkaidra vadászik

Egy súlyos sérülékenység jelent meg a Marimo nevű nyílt forráskódú, Python-alapú notebook-platformon, amelyet adatkutatók, fejlesztők és MI-szakemberek használnak világszerte. Csupán 10 órával a hiba nyilvánosságra hozatala után már aktív támadások indultak, kihasználva a hibát, amely távoli kódfuttatást tesz lehetővé, akár hitelesítés nélkül is. Az érintett verziók a 0.20.4-es és korábbi kiadások; a sebezhetőség súlyosságát 10-ből 9,3-ra értékelték.

Bejutás jelszó nélkül

A problémát az okozza, hogy a WebSocket “/terminal/ws” végpontján keresztül bárki, akár bejelentkezés nélkül is, elérhet egy teljesen interaktív parancssort, olyan jogosultságokkal, amilyennel maga a Marimo fut. Jellemző példa erre, hogy a támadó rögtön elindított egy szkriptet, amellyel a távoli parancsvégrehajtást igazolta, majd manuális feltérképezésbe kezdett. Olyan alapvető parancsokat adott ki, mint a pwd és a whoami, majd azonnal célba vette a .env-fájlt, hogy környezeti változókat – többek között felhőszolgáltatásokhoz használt kulcsokat és titkokat – szerezzen meg.

Villámgyors támadási hullám

Az első órákban 125 különböző IP-címről figyeltek meg támadó tevékenységet. Az egész jogosultságszerzési fázis kevesebb mint három perc alatt lezajlott, majd körülbelül egy órával később egy második, hasonló támadás is történt. A támadók célzottan, manuálisan dolgoztak, elsősorban bizalmas adatokra – például .env-fájlokra és SSH-kulcsokra – hajtottak, nem próbálkoztak bányászprogram vagy hátsó ajtó telepítésével.

Mit tehetnek a Marimo-felhasználók?

Minden érintettnek ajánlott a csomag azonnali frissítése a 0.23.0-s verzióra, a “/terminal/ws” végpont figyelése, hálózati tűzfal használata, illetve a kiszivárgott adatok – például belépési adatok és API-kulcsok – haladéktalan cseréje. Ha frissítés nem lehetséges, legalább a veszélyes végpontot kell tiltani vagy lekapcsolni.

2026, adrienne, www.bleepingcomputer.com alapján