単一の未認証接続でも攻撃者に完全なシェルアクセスを付与。ハニーポットサーバでは3分以内に認証情報を窃取した例が観測される。
AI クラウド企業 CoreWeave が所有するオープンソース Python ノートブックプラットフォーム「Marimo」の重大な認証前リモートコード実行脆弱性が、公開からわずか10時間以内に悪用されました。これは Sysdig Threat Research Team によって報告されました。
この脆弱性は CVE-2026-39987 として追跡されており、深刻度スコアは10中9.3です。Marimo 0.23.0より前のすべてのバージョンに影響します。
ログイン、盗まれた認証情報、複雑なエクスプロイトを必要としません。攻撃者は、公開されている Marimo サーバ上の特定のエンドポイントに単一の接続リクエストを送信するだけで、システムの完全な制御を獲得できます。Sysdig チームは ブログ投稿 でこう述べています。
この欠陥により、認証されていない攻撃者は、任意の公開されている Marimo インスタンスに対して、単一の接続により、認証情報なしで完全なインタラクティブシェルを取得し、任意のシステムコマンドを実行できます。投稿ではこの点が示されています。
「Marimo は認証前 RCE 脆弱性を有しています」と Marimo チームは GitHub セキュリティアドバイザリ で述べています。「ターミナル WebSocket エンドポイント /terminal/ws は認証検証が不足しており、認証されていない攻撃者が完全な PTY シェルを取得し、任意のシステムコマンドを実行することができます。」
Marimo は Python ベースのリアクティブノートブックで、GitHub で約20,000個のスターを持ち、2025年10月に CoreWeave に 買収 されました。
欠陥の仕組み
Marimo のサーバにはブラウザから直接コマンドを実行できるターミナル機能が含まれています。このターミナルはネットワーク経由でアクセス可能でしたが、認証チェックがなく、同じサーバの他の部分はユーザーがログインしてから接続することを正しく要求していました。投稿ではこの点が述べられています。
「ターミナルエンドポイントはこのチェックを完全にスキップし、認証されていないユーザーからの接続を受け入れ、Marimo プロセスの権限で実行される完全なインタラクティブシェルを付与しています」と投稿では述べられています。
実際のところ、インターネット経由でサーバに到達できるユーザーなら誰でも、パスワードを入力することなく、多くの場合は管理者レベルのアクセス権を持つライブコマンドシェルに直接入り込むことができます。Sysdig のチームはこう述べています。
3分以内に盗まれた認証情報
実世界での悪用を追跡するため、複数のクラウドプロバイダーで脆弱な Marimo インスタンスを実行するハニーポットサーバをデプロイし、公開からわずか9時間41分以内に最初の悪用の試みを観測しました。当時、既製のエクスプロイトツールは存在しませんでした。攻撃者はアドバイザリの説明だけを使用して、独自に1つを構築していました。Sysdig の研究者はこう述べています。
攻撃者は4つのセッションにわたってステージごとに動作しました。最初の短いセッションは脆弱性が悪用可能であることを確認しました。2番目のセッションではサーバのファイルシステムを手動で閲覧しました。3番目のセッションまでに、攻撃者は AWS アクセスキーと他のアプリケーション認証情報を含む環境ファイルを特定して読み込んでいました。操作全体は3分以内に完了しました。投稿ではこの点が述べられています。
「これは3分以内に実行された完全な認証情報盗難作業です」と Sysdig チームは述べています。
攻撃者は1時間以上後に戻ってきて、同じファイルを再度チェックしました。この動作は、自動スキャナーではなく、ターゲットのリストを通じて作業しているヒューマンオペレータと一致していました。投稿ではこの点が述べられています。
拡大するパターンの一部
悪用のペースは、AI およびオープンソースツール全体で見られるトレンド と合致しています。Langflow の重大な欠陥は、今年初めに公開からわずか20時間以内に武器化され、Sysdig によっても追跡されました。Marimo の場合、その期間をほぼ半分に短縮され、その時点で公開エクスプロイトコードは流通していませんでした。
「ニッチなまたは比較的人気のないソフトウェアがより安全なソフトウェアではない」と Sysdig の投稿は述べています。公開された重大なアドバイザリを持つすべてのインターネット向けアプリケーションは、公開からわずか数時間以内にターゲットになります。そのインストールベースに関係なく、と追記されています。
Marimo の場合、最初の攻撃の時点で CVE 番号が割り当てられていませんでした。つまり、CVE ベースのスキャンに依存している組織は、このアドバイザリをまったくフラグしなかったことになります。Sysdig はこの点に注目しました。
この欠陥は、MLflow、n8n、Langflow を含む AI 隣接開発者ツール における 重大な RCE 脆弱性 のパターンにも合致しています。コード実行機能は利便性のために構築されていますが、一貫した認証制御なしでインターネットに公開されると危険になります。
組織が行うべきこと
Marimo はパッチされたバージョン 0.23.0 をリリースしました。これはターミナルエンドポイントの認証ギャップを塞いでいます。それより前のバージョンを実行している組織は、Sysdig の示唆するように、すぐに更新すべきです。
すぐに更新できないチームは、ファイアウォールルールを使用して Marimo サーバへの外部アクセスをブロックするか、認証プロキシの背後に配置すべきです。投稿ではこの点が述べられています。公開の場所に到達可能であったインスタンスは、すべて潜在的に侵害されたものとして扱うべきです。
「クラウドアクセスキーと API トークンを含むそれらのサーバに保存されている認証情報は、予防措置として回転させるべきです」と Sysdig はアドバイスしています。
CoreWeave はコメントの要求に即座に応じませんでした。
