技術的な説明
AI/ML開発で人気のあるリアクティブPythonノートブック「Marimo」における認証前のリモートコード実行脆弱性。ターミナルWebSocketエンドポイント /terminal/ws が認証検証を欠いており、認証されていない攻撃者がサーバー上で任意のコマンドを実行できる。
攻撃経路
攻撃者は認証なしで保護されていない /terminal/ws WebSocketエンドポイントに接続し、任意のシステムコマンドを実行する。Sysdig Threat Research Team は勧告公開後9時間41分で最初の悪用の試みを観測し、攻撃者は勧告から直接エクスプロイトを構築していた。
影響を受けるシステム
Marimo バージョン ≤ 0.20.4。侵害された環境は通常、OpenAI、Anthropic、Google LLM APIの認証情報、および広範なAIインフラストラクチャアクセスを公開している。
緩和策
Marimo バージョン 0.23.0 に直ちに更新する。ネットワークに公開されているMarimoインスタンスを監査し、侵害の兆候がないか確認する。Marimo環境からアクセス可能なすべてのAPIキーと認証情報をローテーションする。