オープンソースのPythonノートブックプラットフォームMarimoで新たに発見されたリモートコード実行(RCE)の脆弱性が、公開後10時間以内に悪用されました。これは2026年における脅威アクターの高度化と速度の向上を強調しています。
当初GHSA-2679-6mx9-h9xcとして追跡されていたこの重大な脆弱性は、後にCVE-2026-39987が割り当てられ、CVSSスコアは9.3です。
この脆弱性により、未認証の攻撃者は公開されているMarimoインスタンス上で完全なインタラクティブシェルを取得でき、実質的に対象システムの完全な制御権を得ることができます。
チームによると、攻撃者は公開されたPoC(概念実証)コードを待たずに、いかに迅速にエクスプロイトを実装できるかを実証しました。
Marimoはループノートブックの反応型の代替案であり、データ科学者やAIエンジニアの間で協調開発に人気があります。
この脆弱性は、バージョン0.20.4以前のアプリケーションの/terminal/wsに位置するターミナルWebSocketエンドポイントに影響します。
この見落としにより、未認証ユーザーはネットワーク接続を開き、ホスト上で直接永続的な疑似ターミナルシェルを取得できます。
一度接続されると、攻撃者はパスワード、トークン、または高度なペイロードを必要とせずにMarimoプロセスの完全な権限を獲得します。
単純なWebSocket接続で完全なコマンド実行を達成するのに十分です。
このインシデントが注目される理由は、前例のないほどの悪用速度です。
Sysdigのハニーポット監視データにより、自動化されたスクリプトが開示後数分以内にRCE機能を確認し、その直後に手動の侵入試行が続いたことが判明しました。
研究者によると、脅威アクターはアドバイザリーの技術的な記述のみから運用可能なエクスプロイトを完全に開発し、その時点では公開されたPoCはありませんでした。
専門家はAI駆動の自動化が脆弱性悪用ライフサイクルを加速していると信じています。
攻撃者は機械学習ツールを使用してアドバイザリーを解析し、悪用可能なコンポーネントを識別し、多くの管理者がパッチを当てる時間がある前に急速にペイロードを構築します。
CVE-2026-39987の単純さと重大性を考慮すると、Marimoユーザーは/terminal/wsの認証の見落としを修正するバージョン0.23.0に直ちにアップグレードするよう強く勧告されています。
組織はまた、このエンドポイントへの疑わしい接続についてネットワークログを検査し、公開されているすべての認証情報、APIトークン、およびクラウドキーをローテーションする必要があります。
Marimoインシデントは緊急の教訓を強調しています:オープンソースソフトウェアは急速な悪用から免れることはできません。
ユーザーベースが小さいニッチツールでさえ、アドバイザリーが公開された瞬間に高価値なターゲットになる可能性があります。
継続的なパッチング、攻撃対象領域の監視、およびプロアクティブな脅威インテリジェンスは、このますます高速化するセキュリティ環境における重要な防御対策のままです。
翻訳元: https://cyberpress.org/marimo-rce-vulnerability-exploited-within-10-hours-of-public-disclosure/
