攻击者通过单次未认证连接即可获取完整系统控制权,蜜罐服务器上三分钟内即发生凭证窃取。
Sysdig 威胁研究团队披露,AI 云服务商 CoreWeave 旗下的开源 Python 笔记本平台 Marimo 存在一个关键预认证远程代码执行漏洞(CVE-2026-39987,CVSS 评分 9.3/10)。该漏洞在公开披露后不到 10 小时即被用于野外攻击。该漏洞影响 0.23.0 之前的所有版本。攻击者无需登录凭证或复杂的利用过程,只需向暴露在外的 Marimo 服务器特定端点发送一次连接请求,即可完全控制系统。Sysdig 在博客中指出:“漏洞允许未认证攻击者通过单次连接获取完整的交互式终端(PTY shell),并在 Marimo 进程权限下执行任意系统命令。”Marimo 团队在 GitHub 安全公告中确认:“终端 WebSocket 端点 /terminal/ws 缺乏认证验证机制。”这款基于 Python 的响应式笔记本在 GitHub 上拥有约 2 万颗星标,于 2025 年 10 月被 CoreWeave 收购。漏洞原理
Marimo 服务器内置的终端功能允许用户直接从浏览器执行命令。Sysdig 发现,该终端可通过网络直接访问,且完全绕过了认证检查,而服务器的其他功能则正常要求用户登录。“终端端点完全跳过认证检查,接受任何未认证用户的连接,并授予与 Marimo 进程权限相同的完整交互式 shell。”研究人员解释称,任何能通过互联网访问该服务器的攻击者,都可以直接获得通常具有管理员权限的命令行环境,全程无需密码。三分钟内完成凭证窃取
为追踪实际利用情况,研究团队在多个云平台部署了运行漏洞版 Marimo 的蜜罐服务器。结果显示:漏洞披露后 9 小时 41 分钟,即出现了首次利用尝试。当时尚无公开的漏洞利用工具,攻击者仅依据公告描述自行构建了利用程序。
攻击过程分为四个阶段:第一次短暂连接,确认漏洞可利用;第二次手动浏览服务器文件系统;第三次定位并读取包含 AWS 访问密钥等凭证的环境文件。Sysdig 强调:“完整的凭证窃取操作仅耗时不到 3 分钟。”约一小时后,攻击者再次返回检查同一文件,行为模式符合人工操作特征。
扩大中的威胁趋势
此次快速利用符合 AI 及开源工具漏洞的普遍趋势。今年早些时候,Langflow 的关键漏洞在披露 20 小时内即被武器化,而 Marimo 案例将这一窗口缩短了近一半,且当时并无公开的漏洞利用代码流通。Sysdig 警告:“小众软件不等于安全软件。”任何暴露在互联网上且发布了关键公告的应用,无论用户基数大小,都可能在几小时内成为攻击目标。值得注意的是,首次攻击发生时该漏洞尚未分配 CVE 编号,依赖 CVE 扫描的企业可能完全忽略这一威胁。该漏洞也延续了 AI 相关开发工具(如 MLflow、n8n 和 Langflow)中关键 RCE 漏洞的常见模式:本为便利设计的代码执行功能,在缺乏统一认证控制时,一旦暴露于互联网,即成为高危入口。企业应对措施
Marimo 已发布修复版本 0.23.0,修补了终端端点的认证缺陷。Sysdig 建议所有运行旧版本的组织立即升级。若无法及时更新,应通过防火墙规则阻断 Marimo 服务器的外部访问,或将其置于认证代理之后。“所有曾公开暴露的实例都应视为潜在失陷环境。存储于服务器上的云访问密钥、API 令牌等凭证必须立即轮换。”截至发稿,CoreWeave 未回应置评请求。参考来源:
Critical flaw in Marimo Python notebook exploited within 10 hours of disclosure
https://www.csoonline.com/article/4157810/critical-flaw-in-marimo-python-notebook-exploited-within-10-hours-of-disclosure.html
电报讨论
