Menos de dez horas após a divulgação pública de uma vulnerabilidade crítica, piratas informáticos começaram a explorar ativamente a plataforma Marimo. Esta ferramenta de código aberto, bastante popular entre programadores e cientistas de dados que utilizam Python, viu a sua segurança comprometida através da falha CVE-2026-39987, conforme detalhado na base de dados NVD.
A rápida escalada deste ataque foi identificada pela empresa de segurança Sysdig. Os especialistas notaram que os invasores utilizaram as informações do próprio aviso dos programadores para criar um método de exploração com vista à extração de informações sensíveis. O projeto Marimo, que regista mais de 20 mil estrelas no GitHub, é frequentemente usado para criar painéis de controlo e executar modelos de inteligência artificial. A falha afeta as versões 0.20.4 e anteriores, tendo recebido uma pontuação de gravidade de 9.3 em 10.
O perigo do acesso direto ao terminal
A origem do problema reside no facto de a plataforma expor um terminal interativo através de ligações WebSocket sem as devidas verificações de autenticação. Qualquer cliente não autenticado conseguia estabelecer ligação e obter acesso direto a uma linha de comandos com os mesmos privilégios do processo principal. Isto afetou sobretudo os utilizadores que configuraram o sistema como um bloco de notas editável ou que o expuseram a uma rede partilhada em modo de edição.
As investigações revelaram que a operação não foi automatizada por scripts genéricos, mas sim conduzida por um operador humano altamente metódico. O invasor começou por validar a vulnerabilidade com comandos curtos, desconectando-se em segundos. Pouco depois, regressou para uma fase de reconhecimento manual, procurando diretórios específicos e chaves de acesso remoto. Numa janela de apenas três minutos, conseguiu extrair credenciais de serviços na nuvem e segredos de aplicações. Ao contrário de outras ameaças comuns, não houve tentativa de instalar programas de mineração de criptomoedas ou criar portas traseiras, evidenciando uma operação furtiva e direcionada ao roubo limpo de credenciais.
Medidas urgentes de mitigação
Após a divulgação da falha a 8 de abril, os responsáveis pela plataforma lançaram ontem a versão 0.23.0 para corrigir o problema de raiz. A recomendação deixada aos utilizadores é clara e exige que atualizem os seus ambientes de desenvolvimento de forma imediata.
Para além da atualização do software, é fortemente aconselhado monitorizar as ligações ao terminal, restringir o acesso externo através de firewalls rigorosas e rodar todas as credenciais ou segredos que possam ter sido expostos durante este período. Caso a transição para a nova versão não seja possível no imediato, a medida mais eficaz para travar o problema passa por bloquear ou desativar completamente o acesso ao ponto de ligação vulnerável.
Nenhum comentário
Seja o primeiro!