marimoの脆弱性は早く悪用されたのですか?
- コンステラ
- 4月13日
- 読了時間: 1分
A. はい、公開後まもなく悪用が確認されました。
marimoは、コードの変更履歴を追いやすく、gitで管理しやすい仕組みを持つオープンソースのPythonノートブックです。
今回案内されたのは、バージョン0.20.4以前で認証なしのリモートコード実行が可能になる問題です。原因は、WebSocketエンドポイント「/terminal/ws」で適切な認証確認が行われず、未認証の接続を受け入れてしまう点にあります。
この状態では、攻撃者に対して、marimoの実行権限と同じ権限で対話型シェルを提供した形になります。
公開時点では悪用は始まっていなかったとみられますが、その約10時間後には悪用する活動が確認されました。確認された侵害活動では、攻撃者は短時間で認証情報を取得したと考えられています。
また、マルウェアを残さず、長く居座る仕組みも作らなかったとみられるため、侵害の検出は容易ではなさそうです。そのため、更新時期の確認に加え、「/terminal/ws」の利用有無や認証情報の見直しもあわせて考える必要がありそうです。