Die Datenwissenschaft und -entwicklungsgemeinschaft in Python weckt mit einer störenden Nachricht: ein paar Stunden nach einer ernsthaften Verwundbarkeit wurde in Marimo veröffentlicht - eine sehr beliebte Open Source-Reaktiv-Notizbücher-Umgebung unter Datenwissenschaftlern, Forschern und Anwendungs-Erstellern - Angreifer nutzten bereits dieses Versagen, Geheimnisse zu betreten und zu extrahieren.
Schwachstelle, aufgezeichnet als CVE-2026-39987, wurde von GitHub mit einer kritischen Punktzahl (hoch CVSS in der Nähe von 9.3 / 10) qualifiziert und betrifft vor-Korrektion Versionen von Marimo. Im Wesentlichen ist ein Endpunkt von WebSocket unter der Strecke ausgesetzt / Terminal / ws Zugang zu einem interaktiven Terminal ohne Überprüfung von Anmeldeinformationen, die die Tür zur Remote-Ausführung von Befehlen mit den gleichen Berechtigungen wie der Marimo-Prozess geöffnet.
Die Projektentwickler veröffentlichten eine Warnung und veröffentlichten dann eine korrigierte Version, die 0,23.0 das Problem zu mindern. Die Warnung gab auch an, dass das Risiko besonders für diejenigen relevant war, die Marimo im bearbeitbaren Modus bereitstellen oder freigegebene Netzwerke mithilfe der Option aussetzen --host 0.0.0.0 im Bearbeitungsmodus.
Ein technischer Bericht der Sysdig Cloud-Sicherheitsfirma dokumentiert, wie sich die Ausbeutung von Theorie zu Praxis in Rekordzeit bewegt. Laut seiner Analyse, in den ersten 12 Stunden nach der Veröffentlichung der Details, führte mehr als 100 IP-Adressen Scans auf der Suche nach gefährdeten Einrichtungen, und in weniger als 10 Stunden wurde die erste Sitzung beobachtet, die spezifisch gestohlene Anmeldeinformationen und Geheimnisse aus dem System. Der Sysdig-Bericht beschreibt Schritt für Schritt, wie die Angreifer den Ausfall validierten, mit dem verletzlichen Endpunkt verbunden und ein kleines Skript ausgeführt, um die Remote-Ausführung zu überprüfen, bevor Sie abschalten und Minuten später für detailliertere manuelle Exploration ( Bericht Sysdig)
Was diesen Angriff unterscheidet, war keine undiskriminierende Welle von automatischen Skripten, sondern die Wirkung eines Bedieners, der nach den Forschern eine methodische und gerichtete Operation durchgeführt. In der aktiven Sitzung wurden grundlegende Umwelterkennungsbefehle (wie z.B. pwd, whoami und ls), die Suche nach sensiblen Dateien und sehr schnell das Lesen der .env-Datei zum Extrahieren von Umgebungsvariablen, Cloud-Tasten und Anwendungsgeheimnissen ausgeführt. Alles, was Anmeldeinformationen Zugriff wurde in weniger als drei Minuten abgeschlossen, und die wiederkehrende Sitzung des Angreifers schlägt ein klares Interesse an wertvollen Informationen statt langfristige Malware-Installation.
Die Art des Zugriffs erleichtert es, zu verstehen, warum der Schaden sofort sein kann: Das Erhalten von Umgebungsvariablen oder SSH-Schlüsseln aus einer Entwicklungsumgebung kann Seitenbewegungen, Zugriff auf Cloud-Ressourcen oder die Exfiltration von Produktionsdaten ermöglichen. Obwohl in diesem Fall kein Versuch, Bergleute oder Hintertüren weiterzuentwickeln oder einzusetzen, festgestellt wurde, macht die Fähigkeit, innerhalb von Minuten Geheimnisse zu nehmen, die Verwundbarkeit für jeden mit Marimo exponiert.
Wenn Sie ein Administrator oder Entwickler mit Marimo sind, sind die zu treffenden Maßnahmen klar und dringend. Erstens: Update auf Version 0.23.0 muss die sofortige Aktion sein, um die Authentifizierungsprüfungen im Dienst wiederherzustellen. Ist das Update nicht sofort machbar, ist eine effektive Minderung Endpunkt / Terminal / ws blockieren oder deaktivieren in Proxy oder Firewall, und vermeiden, den Dienst an öffentlichen Netzwerken zu errichten. Darüber hinaus ist es angebracht, WebSocket-Verbindungen auf diese Route zu überwachen und etwaige Geheimnisse zu drehen, die möglicherweise ausgesetzt wurden (Umgebungsvariablen, Cloud Access Keys, API-Tokens, etc.).
Die technische Erklärung und das Timing des Angriffs sind eine Lektion über das Belichtungsfenster, das zwischen der verantwortlichen Offenlegung und dem effektiven Patch besteht: die technischen Informationen, obwohl es für die Teams wichtig ist, in der Lage zu parken, kommen auch in die Hände der Akteure mit der Fähigkeit, Fehler innerhalb von Stunden auszunutzen. Deshalb kombinieren viele Organisationen schnelle Patches mit zusätzlichen Netzsteuerungen und automatisierten Prozessen, um Explorations- und Exfiltrationsmuster zu erkennen.
Marimo ist kein kleines Projekt: seine Popularität in GitHub - mit zehntausenden Sternen und verschiedenen Gabeln - bedeutet, dass viele experimentelle Umgebungen und Prototypen betroffen werden können, wenn Empfehlungen nicht umgesetzt werden. Sie können das offizielle Projekt Repository und die Sicherheitswarnung auf Ihrer GitHub Seite für weitere technische Details zum Patch und die Bedingungen, die das Risiko auslösen, überprüfen: Marimo Repository und Sicherheitsberatung vom Betreuer veröffentlicht.
Kurz gesagt, dieser Vorfall erinnert an zwei Dinge, die offensichtlich und oft nicht sein sollten: Entwicklungstools und Notebooks Umgebungen sind nicht standardmäßig bei der Belichtung sicher, und die Reaktionsgeschwindigkeit auf eine Schwachstelle kann den Unterschied zwischen einem erfolgreichen Patch und dem Engagement sensibler Geheimnisse machen. Wenn Sie Marimo einsetzen können, priorisieren Sie das Update, überprüfen Sie den Netzwerkzugriff und gehen davon aus, dass alle exponierten Geheimnisse gedreht werden müssen.
Um dem Fall zu folgen und die technischen Details des Angriffs zu vertiefen, sind die Hauptquellen die NVD-Datenbank für den Eintrag der CVE ( CVE-2026-39987), Warnung und Patch im Marimo-Repository ( Release 0.23.0) und die von Sysdig ( Bericht Sysdig), die die notwendigen Informationen liefern, um zu verstehen, was passiert ist und wie sie sich schützen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...