Критическая уязвимость RCE с предварительной аутентификацией в платформе Marimo (блокноты Python от CoreWeave) была использована менее чем через 10 часов после раскрытия. Уязвимость CVE-2026-39987 (оценка 9.3) позволяет неаутентифицированному доступу к системе. — csoonline.com
Критическая уязвимость удаленного выполнения кода с возможностью предварительной аутентификации в Marimo, платформе для работы с блокнотами на Python с открытым исходным кодом, принадлежащей компании CoreWeave, занимающейся облачными сервисами в сфере ИИ, была использована в реальных атаках менее чем через 10 часов после ее публичного раскрытия, сообщает команда Sysdig Threat Research Team.
Уязвимость, отслеживаемая как CVE-2026-39987 с оценкой критичности 9,3 из 10, затрагивает все версии Marimo до 0.23.0.
Для ее эксплуатации не требуется вход в систему, украденные учетные данные или сложный эксплойт. Злоумышленнику достаточно отправить один запрос на подключение к определенному эндпоинту на открытом сервере Marimo, чтобы получить полный контроль над системой, — написала команда Sysdig в записи в блоге.
В сообщении говорится, что эта уязвимость позволяет неаутентифицированному злоумышленнику получить полноценную интерактивную оболочку и выполнять произвольные системные команды на любом доступном экземпляре Marimo без необходимости предоставления учетных данных.
«В Marimo присутствует уязвимость RCE с предварительной аутентификацией», — указала команда Marimo в своем уведомлении о безопасности на GitHub. «Эндпоинт WebSocket терминала /terminal/ws не имеет проверки аутентификации, что позволяет неаутентифицированному злоумышленнику получить полную оболочку PTY и выполнять произвольные системные команды».
Marimo — это реактивный блокнот на Python, имеющий около 20 000 звезд на GitHub, который был приобретен CoreWeave в октябре 2025 года.
Как работает уязвимость
Сервер Marimo включает встроенную функцию терминала, которая позволяет пользователям выполнять команды непосредственно из браузера. Этот терминал был доступен по сети без какой-либо проверки аутентификации, в то время как другие части того же сервера корректно требовали от пользователей входа в систему перед подключением, говорится в сообщении.
«Эндпоинт терминала полностью пропускает эту проверку, принимая подключения от любого неаутентифицированного пользователя и предоставляя полную интерактивную оболочку, работающую с привилегиями процесса Marimo», — добавили в сообщении.
На практике, любой, кто мог получить доступ к серверу через интернет, мог беспрепятственно войти в активную командную оболочку, часто с правами администратора, даже не вводя пароль, отметила команда Sysdig.
Учетные данные украдены менее чем за три минуты
Чтобы отследить реальное использование уязвимости, были развернуты серверы-ловушки (honeypot), работающие на уязвимых экземплярах Marimo на различных облачных провайдерах, и зафиксирована первая попытка эксплуатации в течение 9 часов 41 минуты после раскрытия. На тот момент готового инструмента для эксплуатации не существовало. Злоумышленник создал его, используя только описание уязвимости, сообщили исследователи Sysdig.
Злоумышленник действовал поэтапно в течение четырех сессий. Кратковременная первая сессия подтвердила возможность эксплуатации уязвимости. Вторая сессия включала ручной просмотр файловой системы сервера. К третьей сессии злоумышленник обнаружил и прочитал файл окружения, содержащий ключи доступа AWS и другие учетные данные приложения. Вся операция заняла менее трех минут, говорится в сообщении.
«Это полная операция по краже учетных данных, выполненная менее чем за 3 минуты», — написала команда Sysdig.
Спустя час злоумышленник вернулся, чтобы повторно проверить те же файлы. Такое поведение соответствовало действиям оператора-человека, работающего по списку целей, а не автоматизированного сканера, отмечается в сообщении.
Часть расширяющейся закономерности
Темпы эксплуатации соответствуют тенденции, наблюдаемой в инструментах для ИИ и с открытым исходным кодом. Критическая уязвимость в Langflow была использована в течение 20 часов после раскрытия ранее в этом году, что также отслеживалось Sysdig. В случае с Marimo это окно сократилось примерно вдвое, при этом публичного кода эксплойта в обращении не было.
«Нишевое или менее популярное программное обеспечение — это не более безопасное программное обеспечение», — говорится в сообщении Sysdig. Любое интернет-приложение с опубликованным критическим уведомлением становится целью в течение нескольких часов после раскрытия, независимо от его базы установок, добавили они.
На момент первой атаки у уязвимости Marimo не было назначен номер CVE, а это значит, что организации, полагающиеся на сканирование на основе CVE, вообще не заметили бы это уведомление, отметили в Sysdig.
Уязвимость также вписывается в закономерность критических уязвимостей RCE в инструментах для разработчиков, связанных с ИИ, — включая MLflow, n8n и Langflow, — в которых функции выполнения кода, созданные для удобства, становятся опасными при доступе из интернета без последовательного контроля аутентификации.
Что следует предпринять организациям
Команда Marimo выпустила исправленную версию 0.23.0, которая устраняет пробел в аутентификации эндпоинта терминала. Организациям, использующим любую более раннюю версию, следует немедленно обновиться, сообщает Sysdig.
Командам, которые не могут обновиться немедленно, следует заблокировать внешний доступ к серверам Marimo с помощью правил брандмауэра или разместить их за прокси-сервером с аутентификацией, говорится в сообщении. Любой экземпляр, который был общедоступен, следует считать потенциально скомпрометированным.
«В качестве меры предосторожности следует выполнить ротацию учетных данных, хранящихся на этих серверах, включая ключи доступа к облаку и токены API», — рекомендовали в Sysdig.
CoreWeave не сразу ответила на запрос о комментарии.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain