关键Marimo RCE漏洞在披露后几小时内被利用

执行摘要

开源Marimo Python 笔记本环境中存在一个严重的、无需预先认证的远程代码执行（RCE）漏洞，跟踪编号为CVE-2026-39987，该漏洞在公开披露后10小时内就被积极利用。根据Sysdig的研究人员称，这个漏洞的CVSS评分为9.3，影响所有包括一个特定、未指明版本的Marimo之前的所有版本。利用的速度突显了这个漏洞对部署了易受攻击软件的数据科学和机器学习工作流程构成的重大风险。

技术分析

CVE-2026-39987 是 Marimo 笔记本服务器中的一个关键安全漏洞，允许未经认证的攻击者在主机系统上执行任意代码。该漏洞存在于服务器处理特定HTTP请求的方式中。通过向易受攻击的Marimo实例发送特别制作的请求，攻击者可以绕过预期的安全控制，并以运行中的Marimo服务器进程的权限执行命令。

尚未公开详细的漏洞链技术细节，但将其分类为“无需预先认证的RCE”表明攻击面在不需要任何登录凭证的情况下暴露。这使得任何面向互联网的Marimo服务器立即成为一个高价值目标。该漏洞存在于核心应用程序逻辑中，而不是在外围依赖项中，因此修补主要应用程序是唯一的有效补救措施。

入侵指标

目前尚未识别出任何入侵指标。

战术、技术与程序

根据漏洞的性质，观察到的TTPs是直接的。攻击者可能会扫描公共IP地址空间，寻找运行默认Marimo服务器端口（可能是2718）的主机。识别后，他们会制作并发送旨在触发RCE条件的HTTP请求。最初的利用可能会被部署有效载荷所跟随，这些有效载荷的范围可以从加密货币矿工到用于进一步网络侦察的持久后门。主要技术与MITRE ATT&CK框架中的Exploit Public-Facing Application (T1190) 对齐。

威胁行为者背景

公开报告没有将这种利用活动归因于特定的威胁行为者或团体。在披露后半天内迅速武器化是机会主义、以财务为动机的攻击者（例如，加密货币矿工部署组）和更高级的持久威胁（APT）团体的特征，这些团体维护着广泛的漏洞扫描和利用基础设施。目标，一个数据科学平台，可能因其对知识产权盗窃、计算资源劫持或作为进入更广泛研究或企业网络的初始访问向量而具有吸引力。

缓解措施与建议

主要且立即的缓解措施是应用官方补丁。Marimo开发团队已经发布了一个修复版本；所有用户必须立即升级到这个版本。

1. **立即修补：**将Marimo升级到CVE-2026-39987披露后发布的最新修补版本。不要依赖于变通方法。
2. **网络分段：**如果必须使用Marimo，请确保它不在面向互联网的接口上部署。使用防火墙规则限制对Marimo服务器端口的访问，仅限于受信任的IP地址（例如，特定的研究者或开发人员网络）。
3. **最小权限原则：**以最小的必要系统权限运行Marimo服务器进程。不要以root或具有高权限的管理员用户身份运行。
4. **事件响应：**假设任何自漏洞披露以来一直在运行且未修补的、面向互联网的Marimo实例已被入侵。对这些系统进行取证分析，寻找利用后活动的迹象。
5. **漏洞管理：**主动监控与数据科学和开发工具相关的安全通告，这些工具由于能够访问敏感数据和计算资源，越来越成为目标。