Lỗ hổng Marimo bị khai thác ngay sau khi công bố, cảnh báo nguy cơ RCE nghiêm trọng

Một tác nhân đe dọa đã xây dựng mã khai thác cho một lỗ hổng có mức độ nghiêm trọng cao trong phần mềm Marimo và bắt đầu sử dụng nó trong các cuộc tấn công chỉ khoảng 9 giờ sau khi lỗi này được công khai, theo báo cáo từ công ty bảo mật đám mây Sysdig.

Lỗ hổng bảo mật

Marimo là một sổ tay phản ứng (reactive notebook) mã nguồn mở dành cho ngôn ngữ lập trình Python, được thiết kế để đảm bảo mã nguồn, đầu ra và trạng thái chương trình luôn nhất quán. Dự án này hiện có khoảng 20.000 sao trên GitHub.

Chi tiết lỗ hổng CVE-2026-39987

Vào ngày 8 tháng 4, đội ngũ bảo trì của nền tảng này đã công bố CVE-2026-39987 (điểm CVSS là 9,3), một lỗ hổng thực thi mã từ xa (RCE) không cần xác thực. Nguyên nhân gốc rễ của vấn đề nằm ở việc thiếu quy trình xác thực tại điểm cuối WebSocket của terminal.

Lỗi này có thể cho phép kẻ tấn công lấy được shell tương tác đầy đủ mà không cần đăng nhập, dẫn đến việc thực thi các lệnh hệ thống tùy ý.

"Khác với các điểm cuối WebSocket khác (ví dụ: /ws) gọi đúng hàm validate_auth() để xác thực, điểm cuối /terminal/ws chỉ kiểm tra chế độ chạy và hỗ trợ nền tảng trước khi chấp nhận kết nối, hoàn toàn bỏ qua bước xác thực," đội ngũ bảo trì Marimo giải thích.

Quá trình khai thác nhanh chóng

Theo Sysdig, cuộc khai thác đầu tiên đối với lỗi này được quan sát thấy chỉ sau 9 giờ 41 phút kể từ khi bản tư vấn được công bố. Mặc dù lúc đó chưa có mã khai thác khái niệm (PoC) nào được công bố, kẻ tấn công đã tạo ra một công cụ khai thác chức năng và sử dụng nó để đánh cắp thông tin đăng nhập.

Bảo mật mạng

"Kẻ tấn công đã xây dựng một mã khai thác hoạt động trực tiếp từ mô tả trong bản tư vấn, kết nối đến điểm cuối terminal không cần xác thực và bắt đầu khám phá thủ công môi trường bị xâm phạm," Sysdig lưu ý.

Công ty bảo mật cho biết họ đã quan sát thấy hoạt động khai thác từ một địa chỉ IP duy nhất, nhưng thêm 125 địa chỉ IP khác cũng tham gia vào các hoạt động trinh sát, chẳng hạn như quét cổng và dò tìm HTTP.

Trong cuộc tấn công bị bẫy mật ong (honeypot) của Sysdig bắt được, tác nhân đe dọa đã kết nối đến điểm cuối WebSocket của terminal dễ bị tổn thương, thực hiện trinh sát thủ công sau hai phút và quay lại sau sáu phút để lấy các tệp chứa thông tin đăng nhập.

Hơn nữa, kẻ tấn công được nhìn thấy đang cố gắng đọc mọi tệp trong thư mục mục tiêu và tìm kiếm các khóa SSH. Toàn bộ hoạt động này, theo Sysdig, đã kết thúc trong vòng ba phút.

Giải pháp và khuyến nghị

Tất cả các bản phát hành Marimo lên đến phiên bản 0.20.4 đều bị ảnh hưởng bởi CVE-2026-39987. Người dùng được khuyên cập nhật ngay lên phiên bản 0.23.0 hoặc mới hơn, phiên bản này đã chứa các bản vá cho lỗi này.