سباق مع الزمن: ثغرة RCE فـ Marimo (CVE-2026-39987) تخدّات فقل من 10 سوايع من مورا ما تلونصات

الخلاصة (TL;DR): واحد الثغرة خطيرة بزاف من نوع Remote Code Execution (RCE) فـ Marimo Python notebook (CVE-2026-39987) تخدمات من طرف هاكرز فقل من 10 سوايع مورا ما تلونصا الخبر ديالها. وخا مكنش كاين شي "كود واجد" (PoC) فالبداية، الهاكرز قدروا يستغلوها باش يشفرو معلومات الدخول (credentials) و السوارت ديال SSH.

---

الوقت اللي كيكون عند الناس ديال السيكوريتي باش يحميو الأنظمة كينقص بواحد السرعة خيالية. تحقيقات جديدة من شركة الأمن "Sysdig" كشفات بلي واحد الثغرة خطيرة فـ Marimo (وهو واحد "Python notebook" مفتوح المصدر كيتستعمل فـ data science) تِستغلات من طرف هاكر "بشكل يدوي" غير مورا 9 سوايع و 41 دقيقة ملي خرج التحذير الأول.

هاد الثغرة، اللي معطية ليها السمية CVE-2026-39987، عندها سكور CVSS واصل لـ 9.3، هادشي كيبين بلي الخطورة ديالها طالعة بزاف على الناس اللي خدامين فالـ data science و الـ development.

شنو هي CVE-2026-39987؟

هاد الثغرة هي من نوع "pre-authenticated remote code execution" (يعني الهاكر يقدر ينفذ أوامر فالسيرفر بلا ما يحتاج كونط). السبب ديالها هو واحد السهو فالسيكوريتي ديال كيفاش Marimo كيتعامل مع الروابط ديال WebSocket.

على حساب المطورين ديال Marimo، الأبليكاسيون فيها واحد النهاية ديال WebSocket خاصة بالترمينال (/terminal/ws) اللي مكاتديرش التأكد من الهوية (authentication) بشكل صحيح. وخا البلايص لخرين فالداتا كيديرو الخدمة ديالهم بـ validate_auth()، هاد الجهة ديال الترمينال كانت كتحقق غير من "نمط التشغيل" و واش "المنصة مدعومة" قبل ما تعطي لآكسي.

بسباب هاد الغلط، الأبليكاسيون خلات أي واحد (وخا ميكونش مسجل) يقدر:

• يتكونيكطا لـ WebSocket بلا كود.
• ياخد "PTY shell" (يعني تحكم كامل فالترمينال).
• يخدم أوامر سيستيم (system commands) كيفما بغا فالسيرفر اللي هاز الأبليكاسيون.

هاد الثغرة كتقيس كاع النسخ ديال Marimo اللي قبل و واصلة لـ 0.20.4.

كيفاش داز الهجوم

Sysdig راقبات العملية عن طريق واحد "Honeypot" (سيرفر فخ). وخا مكنش شي كود ديال "PoC" منشور، الهاكر قدر يبني طريقة ديالو غير من خلال التفاصيل التقنية اللي تحطات فالبلاغ ديال السيكوريتي.

الهجوم داز من هاد المراحل:

1. الدخول لول: قل من 10 سوايع مورا ما تلونصا الخبر، الهاكر تكونيكطا لـ /terminal/ws.
2. الاستكشاف (Reconnaissance): الهاكر بدا كيقلب بيدو فالملفات ديال السيستيم.
3. سرقة الداتا: فدقيق معدودة، الهاكر حاول يخرج معلومات حساسة، وبالضبط كان كيقلب على ملفات .env و السوارت ديال SSH و أي ملفات محلية فيها أسرار.
4. المتابعة: الهاكر رجع ساعة من موراها باش يتأكد من الملفات ديال .env و يشوف واش كاينين هاكرز خرين منافسين ليه دخلوا لنفس السيستيم.

الملاحظ هو أن الهاكر مدارش شي حاجة أوتوماتيكية بحال "تعدين العملات الرقمية" (crypto mining)، هادشي كيبين بلي الهدف ديالو كان محدد وهو "يضرب ويهرب" بشفري السوارت و معلومات الدخول.

الوقت ديال الدفاع كيضياق

هاد الحادثة كاتزيد تأكد واحد التوجه خطير فالعالم ديال السيكوريتي: السرعة الكبيرة باش كيولي يتم استغلال الثغرات اللي يلاه كيتعرفو (N-day).

قالت Sysdig: "الهاكر تكونيكطا 4 ديال المرات فـ 90 دقيقة، مع وقفات بين كل حصة وحصة. هادشي كيوحي بلي كاين بنادم مورا هادشي كيخدم على ليستة ديال الأهداف، و كيرجع غير باش يأكد داكشي اللي لقى".

هاد الهجوم السريع كيفكرنا بلي واخا تكون واحد الأداة معروفة، هادشي مكيبيينش بلي هي محمية 100%. حتى الأدوات المتخصصة بحال Marimo راها تحت المراقبة ديال الهاكرز اللي حاضيين البلاغات غير باش يلقاو أهداف قبل ما يتم "الباتش" (Patch) ديالهم.

الحلول و النصائح

الثغرة تصلحات فـ Marimo version 0.23.0.

الناس و الشركات اللي كيخدمو بـ Marimo خاصهم يديروا هاد الخطوات دابا:

• التحديث (Update): دوزو لـ Marimo version 0.23.0 أو ما فوق.
• التدقيق (Audit): إلا كنتو خدامين بنسخة قديمة و كانت محلولة للأنترنيت، قلبو واش كاين شي نشاط غريب، خاصة واش تقاسو ملفات .env أو السوارت ديال SSH.
• سيكوريتي ديال الريزو: تأكدو بلي الأدوات ديال الـ development ميكونوش مفتوحين للأنترنيت إلا لضرورة قصوى، و ديما خاصهم يكونو محيين مورا VPN أو نظام ديال التوثيق صحيح.

المصدر: The Hacker News