这个漏洞CVSS评分高达9.3,属于未认证远程代码执行问题,影响所有0.20.4及更早版本的Marimo实例。Marimo维护者本周早些时候发布的公告指出,终端WebSocket端点/terminal/ws缺少认证校验。攻击者只需单次WebSocket连接,就能拿到完整PTY shell,直接运行任意系统命令。其他端点如/ws会调用validate_auth函数验证身份,这个终端端点却只检查运行模式和平台支持,就放行连接。结果,任何暴露在互联网上的Marimo服务器都成靶子,无需凭证。维护者已在0.23.0版本中修复,用户赶紧升级。Sysdig的蜜罐系统捕捉到,攻击者从公告描述直接组装出利用代码。无PoC公开,他们还是在短时间内动手。
攻击过程干净利落,体现出手动操作痕迹。威胁行为者连上/terminal/ws端点,先手动探查文件系统。几分钟后,开始系统性搜刮.env文件内容,还猎取SSH密钥,读取各种文件。一个小时后,他们又回来,确认.env细节,顺便查查其他攻击者有没有来访。总共连接4次,跨度90分钟,中间有间歇。没发现安装矿工或后门等后续载荷。Sysdig分析称,这像人类操作员按目标列表逐个搞,确认战果再走。整个凭证窃取操作几分钟搞定。BTC现报$72,169(24h +1.47%),市场波动不大,安全事件提醒开发者别掉以轻心。
这类零日漏洞武器化速度飞快,暴露了披露到打补丁的窗口期有多窄。威胁方盯着公告,第一时间下手,针对任何互联网面对的严重漏洞,不挑流行度。Marimo虽小众,用在数据科学和分析场景,却也成目标。防御者得警醒,公开后几小时内就可能中招。升级是王道,别等PoC满天飞。