Marimo オープンソース反応型Pythonノートブックプラットフォームの重大な脆弱性の公開から わずか10時間後、ハッカーが悪用を開始しました。
この脆弱性は、Marimo バージョン0.20.4以前での認証なしのリモートコード実行を可能にします。CVE-2026-39987として追跡されており、GitHubは10段階中9.3という重大スコアで評価しました。
クラウドセキュリティ企業Sysdigの研究者によると、攻撃者は開発者の勧告に記載された情報からエクスプロイトを作成し、機密情報を流出させる攻撃の使用を直ちに開始しました。
Marimo はオープンソースのPythonノートブック環境で、通常はデータサイエンティスト、ML/AI開発者、研究者、およびデータアプリやダッシュボードを構築する開発者に使用されています。かなり人気のあるプロジェクトで、20,000個のGitHubスター と1,000個のフォークがあります。
CVE-2026-39987は、WebSocketエンドポイント’/terminal/ws’が適切な認証チェックなしで対話型ターミナルを公開し、認証されていないクライアントからの接続を許可することが原因です。
これは、Marimo プロセスと同じ権限で実行される完全な対話型シェルへの直接アクセスを提供します。
Marimo は4月8日に脆弱性を公開し、昨日これに対応するためにバージョン0.23.0をリリースしました。開発者は、この脆弱性は編集可能なノートブックとしてMarimo をデプロイしたユーザー、および編集モード中に–host 0.0.0.0を使用してMarimo を共有ネットワークに公開したユーザーに影響すると指摘しました。
野生での悪用
脆弱性の詳細が公開されてから最初の12時間以内に、125個のIPアドレスが偵察活動を開始しました(Sysdigによる)。
公開から10時間未満で、研究者は認証情報盗用操作における最初の悪用の試みを観察しました。
攻撃者は最初に/terminal/wsエンドポイントに接続してリモートコマンド実行を確認するための短いスクリプトシーケンスを実行し、数秒以内に切断してこの脆弱性を検証しました。
その直後、攻撃者は再接続し、pwd、whoami、lsなどの基本的なコマンドを発行して環境を理解し、その後ディレクトリナビゲーションの試みとSSH関連の場所の確認を続けました。
次に、攻撃者は認証情報の収集に集中し、.envファイルを直ちにターゲットにして環境変数(クラウド認証情報およびアプリケーションシークレットを含む)を抽出しました。その後、作業ディレクトリの追加ファイルの読み取りを試みSSHキーのプローブを継続しました。
認証情報アクセスフェーズ全体は3分未満で完了しました(今週のSysdigレポートによる)。
約1時間後、攻撃者は同じエクスプロイトシーケンスを使用して2番目の悪用セッションのために戻ってきました。
研究者によると、この攻撃の背後には自動化されたスクリプトではなく、実践的なアプローチを持つ「方法的なオペレーター」が存在するようであり、.env認証情報やSSHキーの盗難などの高価値目標に焦点を当てています。
攻撃者は永続性のインストール、暗号マイナーまたはバックドアのデプロイを試みず、迅速でステルス性の高い操作を示唆しています。
Marimo ユーザーは直ちにバージョン0.23.0にアップグレードし、’/terminal/ws’へのWebSocket接続を監視し、ファイアウォール経由で外部アクセスを制限し、すべての公開されたシークレットをローテーションすることをお勧めします。
アップグレードできない場合、効果的な緩和策は’/terminal/ws’エンドポイントへのアクセスを完全にブロックまたは無効化することです。
