Angreifer attackieren Phyton-Notebook Marimo | heise online

Derzeit haben es Angreifer auf das Phyton-Notebook Marimo abgesehen und nutzen eine Sicherheitslücke zum Ausführen von Schadcode aus.

Marimo ist eine integrierte Arbeitsumgebung für Python, in der Code, Ergebnisse, Visualisierungen und Dokumentation kombiniert werden.

Sicherheitslücke schließen

Wie aus einer Warnmeldung hervorgeht, ist die Authentifizierung im Kontext des WebSocket-Endpoints /terminal/ws kaputt und Angreifer können ohne Anmeldung an der „kritischen“ Schwachstelle (CVE-2026-39987) ansetzen.

Im Anschluss greifen sie mit weitreichenden Rechten auf eine Shell zu und können eigene Befehle ausführen. Aufgrund der Einstufung des Schweregrads ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. In welchem Umfang die Attacken ablaufen und auf welche Ziele es die bislang unbekannten Angreifer abgesehen haben, ist zurzeit unklar.

Auf die Attacken sind Sicherheitsforscher von Sysdig gestoßen. In einem Bericht führen sie aus, dass sie zwölf Stunden nach Bekanntwerden der Lücke Angriffsaktivitäten von 125 IP-Adressen ausgehend beobachtet haben. Sie geben an, dass Angreifer sich nach erfolgreichen Zugriffen Zugangsdaten wie SSH-Schlüssel verschaffen und sich damit ausgerüstet weiter in Netzwerken ausbreiten. Demzufolge sollten Marimo-Nutzer aus Sicherheitsgründen ihre Zugangsdaten für Datenbanken und API-Schlüssel ändern, um den Angreifern den Zugriff zu entziehen.

Die Entwickler versichern, die Lücke in Marimo 0.23.0 geschlossen zu haben. Aktuell ist derzeit die Ausgabe 0.23.1. Wer das Sicherheitsupdate nicht umgehend installieren kann, muss den Zugriff auf /terminal/ws reglementieren oder die Funktion temporär deaktivieren.

(des)