Kritische Marimo RCE innerhalb von Stunden nach Offenlegung ausgenutzt: Ein Wettlauf gegen die Zeit für Patches
Eine kritische Remote Code Execution (RCE)-Schwachstelle im Open-Source-Python-Notebook **Marimo**, **CVE-2026-39987**, wurde innerhalb von 10 Stunden nach ihrer öffentlichen Offenlegung aktiv ausgenutzt. Sicherheitsexperten von **Sysdig** beobachteten die schnelle Bewaffnung der Schwachstelle, was das schrumpfende Zeitfenster für Verteidiger zur Anwendung von Patches verdeutlicht.
### Schnelle Ausnutzung der Marimo-Schwachstelle
**Sysdig** berichtete, dass **CVE-2026-39987** (CVSS-Score: 9.3), eine vorab authentifizierte Remote Code Execution-Schwachstelle, innerhalb von 9 Stunden und 41 Minuten nach ihrer öffentlichen Offenlegung ausgenutzt wurde. Diese Schwachstelle betrifft alle Versionen von **Marimo** bis einschließlich 0.20.4. Das Problem wurde in Version 0.23.0 behoben.
### Technische Details zu CVE-2026-39987
Die Ursache liegt im WebSocket-Endpunkt `/terminal/ws`, dem eine ordnungsgemäße Authentifizierungsvalidierung fehlt. Laut den **Marimo**-Maintainern umgeht dieser Endpunkt die Funktion `validate_auth()`, was es nicht authentifizierten Angreifern ermöglicht, eine vollständige PTY-Shell zu erhalten und beliebige Systembefehle auszuführen.
Im Gegensatz zu anderen WebSocket-Endpunkten (z. B. `/ws`) prüft der `/terminal/ws`-Endpunkt nur den laufenden Modus und die Plattformunterstützung, bevor er Verbindungen akzeptiert, und überspringt die Authentifizierungsprüfung vollständig.
### Angreifer in Aktion
Die Ausnutzungsversuche beinhalteten die Verbindung zum WebSocket-Endpunkt `/terminal/ws` auf einem Honeypot-System. Der Angreifer initiierte dann eine manuelle Erkundung, um das Dateisystem zu durchsuchen. Innerhalb weniger Minuten versuchten sie systematisch, Daten aus der `.env`-Datei zu extrahieren, nach SSH-Schlüsseln zu suchen und verschiedene Dateien zu lesen.
Der Angreifer kehrte eine Stunde später zurück, um auf den Inhalt der `.env`-Datei zuzugreifen und nach anderen Bedrohungsakteuren zu suchen. Es wurden keine weiteren Payloads wie Kryptowährungs-Miner oder Backdoors installiert.
### Auswirkungen und Empfehlungen
Die Geschwindigkeit der Ausnutzung, selbst ohne leicht verfügbaren Proof-of-Concept (PoC)-Code, unterstreicht die Bedeutung einer schnellen Patch-Anwendung. Angreifer überwachen aktiv Schwachstellenoffenlegungen und bewaffnen sie schnell.
**Sysdig** betont, dass jede internetexponierte Anwendung mit einer kritischen Warnung ein potenzielles Ziel ist, unabhängig von ihrer Popularität. IT-Sicherheitsexperten und datenschutzbewusste Benutzer werden dringend aufgefordert, das Patchen zu priorisieren und Sicherheitswarnungen im Zusammenhang mit ihrem Software-Stack regelmäßig zu überwachen.