技術的な説明
Marimo Pythonノートブックの認証前リモートコード実行 (CVSS 9.3)。/terminal/ws WebSocketエンドポイントは認証検証を欠いており、認証されていない攻撃者に完全なPTYシェルアクセスを付与します。開示後9時間41分以内に野生で悪用されました。
攻撃経路
/terminal/wsエンドポイントへの認証されていないWebSocket接続は、他のエンドポイントが正しく実施している認証をバイパスします。攻撃者はルートシェルアクセス (デフォルトDockerイメージはrootとして実行) を取得し、すぐさまLLM APIキーとクラウド認証情報を収集します。
影響を受けるシステム
Marimoバージョン ≤0.20.4。Stanford、Mozilla AI、OpenAI、BlackRockで使用され、Docker/GPUクラウドインスタンスに広く展開されています。
緩和策
Marimo 0.23.0以降にすぐに更新してください。すべてのMarimoインスタンスをネットワークで隔離してください。露出しているシステム上のAPIキーとクラウド認証情報をローテーションしてください。不正アクセスを監査してください。