🗓️ Contexte

Source : BleepingComputer, publié le 12 avril 2026. L’article s’appuie sur un rapport de la société Sysdig, spécialisée en sécurité cloud.

🔍 Vulnérabilité

CVE-2026-39987 affecte Marimo, une plateforme open-source de notebooks Python réactifs, dans toutes les versions 0.20.4 et antérieures. Le score CVSS GitHub est de 9.3/10 (critique).

La faille réside dans l’endpoint WebSocket /terminal/ws qui expose un terminal interactif sans vérification d’authentification, permettant à tout client non authentifié de se connecter et d’obtenir un shell interactif avec les privilèges du processus Marimo.

Les déploiements concernés sont :

  • Les notebooks déployés en mode éditable
  • Les instances exposées sur un réseau partagé via --host 0.0.0.0 en mode édition

⚡ Exploitation active

Selon Sysdig :

  • 125 adresses IP ont commencé une activité de reconnaissance dans les 12 premières heures suivant la divulgation
  • La première tentative d’exploitation a été observée moins de 10 heures après la divulgation publique (8 avril 2026)
  • La divulgation par Marimo date du 8 avril 2026 ; le correctif (version 0.23.0) a été publié le 11 avril 2026

🎯 Déroulement de l’attaque

L’attaquant a opéré en plusieurs phases :

  1. Validation : connexion à /terminal/ws, exécution d’une séquence scriptée pour confirmer l’exécution de commandes distantes
  2. Reconnaissance manuelle : commandes pwd, whoami, ls, navigation dans les répertoires, recherche de chemins SSH
  3. Vol de credentials : ciblage du fichier .env, extraction de variables d’environnement incluant des credentials cloud et des secrets applicatifs, tentative de lecture de clés SSH
  4. Deuxième session : environ une heure plus tard, l’attaquant est revenu avec la même séquence d’exploitation

L’ensemble de la phase d’accès aux credentials a été complétée en moins de 3 minutes. Aucune persistance, backdoor ou cryptomineur n’a été déployé, indiquant une opération furtive et ciblée.

Sysdig qualifie l’opérateur de “methodical operator” avec une approche manuelle (hands-on), plutôt qu’automatisée.

📋 Type d’article

Article de presse spécialisée combinant alerte de sécurité et analyse d’incident, visant à informer les utilisateurs de Marimo de l’exploitation active et à documenter le comportement observé des attaquants.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

  • CVEs : CVE-2026-39987NVD · CIRCL
  • Chemins : /terminal/ws
  • Chemins : .env

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3678 chars — texte complet (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/

🖴 Archive : https://web.archive.org/web/20260412144548/https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/