Marimo RCE Crítica Explorada Horas Após Divulgação: Corrida Contra o Tempo para Correção
Uma vulnerabilidade crítica de execução remota de código (RCE) no notebook open-source Python **Marimo**, **CVE-2026-39987**, foi ativamente explorada em até 10 horas após sua divulgação pública. Pesquisadores de segurança da **Sysdig** observaram a rápida "armamento" da falha, destacando a janela cada vez menor para os defensores aplicarem correções.
### Rápida Exploração da Vulnerabilidade no Marimo
A **Sysdig** relatou que a **CVE-2026-39987** (CVSS score: 9.3), uma vulnerabilidade de execução remota de código pré-autenticada, foi explorada em 9 horas e 41 minutos após sua divulgação pública. Esta vulnerabilidade afeta todas as versões do **Marimo** anteriores e incluindo a 0.20.4. O problema foi corrigido na versão 0.23.0.
### Detalhes Técnicos da CVE-2026-39987
A causa raiz reside no endpoint WebSocket `/terminal/ws`, que carece de validação de autenticação adequada. De acordo com os mantenedores do **Marimo**, este endpoint ignora a função `validate_auth()`, permitindo que atacantes não autenticados obtenham um shell PTY completo e executem comandos arbitrários do sistema.
Ao contrário de outros endpoints WebSocket (por exemplo, `/ws`), o endpoint `/terminal/ws` verifica apenas o modo de execução e o suporte da plataforma antes de aceitar conexões, pulando completamente a verificação de autenticação.
### Atacantes em Ação
As tentativas de exploração envolveram a conexão ao endpoint WebSocket `/terminal/ws` em um sistema honeypot. O atacante então iniciou reconhecimento manual para explorar o sistema de arquivos. Em minutos, eles tentaram sistematicamente coletar dados do arquivo `.env`, procurar por chaves SSH e ler vários arquivos.
O atacante retornou uma hora depois para acessar o conteúdo do arquivo `.env` e verificar a presença de outros atores de ameaça. Nenhum outro payload, como mineradores de criptomoedas ou backdoors, foi instalado.
### Implicações e Recomendações
A velocidade da exploração, mesmo sem código de prova de conceito (PoC) prontamente disponível, ressalta a importância de correções rápidas. Os atacantes estão monitorando ativamente as divulgações de vulnerabilidades e as "armando" rapidamente.
A **Sysdig** enfatiza que qualquer aplicação exposta à internet com um aviso crítico é um alvo potencial, independentemente de sua popularidade. Profissionais de segurança de TI e usuários preocupados com a privacidade são instados a priorizar a aplicação de correções e monitorar regularmente os avisos de segurança relacionados à sua pilha de software.