기술 설명
AI/ML 개발에서 인기 있는 반응형 Python 노트북인 Marimo의 인증 전 원격 코드 실행 취약점. 터미널 WebSocket 엔드포인트 /terminal/ws는 인증 검증이 부족하여 인증되지 않은 공격자가 서버에서 임의의 명령을 실행할 수 있게 함.
공격 경로
공격자는 인증 없이 보호되지 않은 /terminal/ws WebSocket 엔드포인트에 연결하고 임의의 시스템 명령을 실행함. Sysdig 위협 연구팀은 공지사항 발표 후 9시간 41분 만에 첫 번째 악용 시도를 관찰했으며, 공격자들이 공지사항으로부터 직접 악용 코드를 구성함.
영향받는 시스템
Marimo 버전 ≤ 0.20.4. 손상된 환경은 일반적으로 OpenAI, Anthropic 및 Google LLM API의 자격 증명, 그리고 더 광범위한 AI 인프라 접근 권한을 노출함.
완화 방안
즉시 Marimo 버전 0.23.0으로 업데이트함. 네트워크에 노출된 모든 Marimo 인스턴스에서 손상 징후를 감시함. Marimo 환경에서 접근 가능한 모든 API 키 및 자격 증명을 교체함.