أعلنت شركة Sysdig المتخصصة في أمن السحابة عن استغلال سريع لثغرة أمنية حرجة في منصة Marimo مفتوحة المصدر، المخصصة لتحليل البيانات عبر دفاتر بايثون التفاعلية. الثغرة التي تحمل الرمز CVE-2026-39987 وتقييم خطورة 9.3 على مقياس CVSS، تم استغلالها بعد أقل من عشر ساعات من الكشف العلني عنها، ما يسلط الضوء على سرعة استجابة المهاجمين لمثل هذه الإعلانات الأمنية.
تفاصيل الثغرة التقنية
الثغرة تؤثر على جميع إصدارات Marimo حتى الإصدار 0.20.4، قبل أن يتم إصلاحها في النسخة 0.23.0. تكمن المشكلة في نقطة النهاية الخاصة بـ WebSocket /terminal/ws، والتي تفتقر إلى آلية التحقق من الهوية. هذا الخلل يسمح لأي مهاجم غير مصرح له بالحصول على جلسة طرفية كاملة (PTY shell) وتنفيذ أوامر نظام التشغيل بشكل مباشر، دون الحاجة إلى أي بيانات اعتماد. بخلاف نقاط النهاية الأخرى مثل /ws التي تستدعي دالة التحقق من الهوية، فإن هذه النقطة كانت تتجاوز التحقق تمامًا.
سرعة الاستغلال ودلالاته
وفقًا لمراقبة Sysdig، فقد تم رصد أول محاولة استغلال بعد 9 ساعات و41 دقيقة فقط من الإعلان عن الثغرة، حيث تمكن المهاجم من بناء استغلال عملي اعتمادًا على وصف الثغرة في التحذير الأمني، دون الحاجة إلى وجود كود إثبات المفهوم (PoC). المهاجم اتصل بالنقطة غير المحمية وبدأ في استكشاف النظام يدويًا، بحثًا عن ملفات حساسة مثل .env ومفاتيح SSH، إضافة إلى محاولة قراءة ملفات متعددة. بعد ساعة، عاد المهاجم للتحقق من محتويات الملفات والتأكد من عدم وجود منافسين آخرين في نفس الفترة الزمنية.
طبيعة الهجوم والأنشطة المرصودة
التقارير أوضحت أن المهاجم اتصل أربع مرات خلال 90 دقيقة، مع فواصل زمنية بين الجلسات، وهو ما يعكس عمل مشغل بشري يتنقل بين أهداف متعددة. اللافت أن الهجوم لم يتضمن تحميل برمجيات إضافية مثل أدوات التعدين أو الأبواب الخلفية، بل اقتصر على سرقة بيانات الاعتماد واستكشاف البيئة. هذا السلوك يعكس تركيز المهاجم على جمع المعلومات الحساسة بدلًا من استغلال الموارد بشكل مباشر.
انعكاسات على الأمن السيبراني
الحادثة تؤكد أن المهاجمين يتابعون عن كثب إعلانات الثغرات الأمنية ويستغلونها بسرعة كبيرة قبل أن يتمكن المدافعون من تطبيق التحديثات. هذا الواقع يقلص بشكل كبير النافذة الزمنية المتاحة لفرق الأمن لتأمين أنظمتهم بعد الكشف العلني. الخبراء يشددون على أن المؤسسات يجب أن تعتمد استراتيجيات استجابة أسرع، بما في ذلك التحديث الفوري للبرمجيات، وتطبيق آليات مراقبة استباقية لرصد أي نشاط غير طبيعي فور الإعلان عن ثغرات جديدة.
