في تطور مقلق للأمن السيبراني، تم استغلال ثغرة خطيرة في منصة Marimo لتحليل البيانات خلال أقل من 10 ساعات من الإعلان عنها، مما يهدد آلاف الخوادم والأنظمة غير المحمية حول العالم.
ما هي تفاصيل ثغرة Marimo الخطيرة (CVE-2026-39987)؟
أكدت التقارير التقنية الحديثة، كما يتابع فريق تيكبامين باستمرار، اكتشاف نقطة ضعف أمنية حرجة في منصة Marimo. تعتبر هذه المنصة بيئة عمل مفتوحة المصدر مخصصة للغة بايثون وعلوم البيانات، وتستخدم على نطاق واسع من قبل المطورين والباحثين.
تم تسجيل هذه الثغرة الأمنية تحت الرمز التعريفي CVE-2026-39987، وتعتبر من أخطر الثغرات المكتشفة مؤخراً نظرًا لسهولة استغلالها وتأثيرها المباشر على الأنظمة.
- درجة الخطورة (CVSS): 9.3 من 10، مما يصنفها كتهديد حرج للغاية.
- النسخ المتأثرة بالثغرة: جميع الإصدارات السابقة والحالية حتى الإصدار 0.20.4.
- النسخة الآمنة والموصى بها: تم معالجة الخلل بالكامل في الإصدار 0.23.0.
- طبيعة الهجوم: إمكانية تنفيذ أوامر برمجية عن بُعد بدون أي مصادقة مسبقة (RCE).
كيف يتم اختراق خوادم وأنظمة Marimo؟
يكمن الخلل البرمجي الأساسي في نقطة اتصال WebSocket الخاصة بالمحطة الطرفية في المسار /terminal/ws. حيث تفتقر هذه النقطة الحيوية إلى آليات التحقق من صحة المصادقة المعتادة التي تمنع الوصول غير المصرح به.
هذا النقص الأمني الخطير يسمح للمهاجمين بالحصول على غلاف تفاعلي كامل (PTY shell) عبر الشبكة. ومن خلال هذا الغلاف، يمكن للمخترق تنفيذ أوامر النظام التعسفية والسيطرة على الخادم بشكل شبه كامل دون أي عوائق تذكر.
على عكس نقاط الاتصال الأخرى في النظام التي تتحقق بدقة من هوية المستخدم ووثائق الاعتماد، تتجاهل هذه النقطة المحددة إجراءات الأمان وتكتفي بالتحقق من وضع التشغيل ودعم المنصة فقط. بعبارة أخرى، يمكن للمخترقين الحصول على وصول كامل لأي خادم مكشوف عبر اتصال واحد، وبدون الحاجة لمعرفة أي كلمات مرور.
سرعة قياسية ومرعبة في استغلال الثغرات
وفقاً للبيانات الأمنية والمتابعات التي رصدها موقع تيكبامين، تم تسجيل أول محاولة استغلال فعلية بعد 9 ساعات و41 دقيقة فقط من الكشف العام عن الثغرة الأمنية في المنصة.
المثير للقلق بشكل خاص هو أن المهاجمين تمكنوا من تنفيذ عملية سرقة لبيانات الاعتماد في غضون دقائق معدودة، وذلك على الرغم من عدم توفر أي كود برمجي لإثبات المفهوم (PoC) للمطورين في ذلك الوقت. قام المخترق المحترف ببناء أداة الاستغلال الخاصة به بالاعتماد المباشر على الوصف الفني للثغرة المنشور.
ماذا استهدف قراصنة الإنترنت بعد الاختراق؟
بمجرد الوصول غير المصرح به إلى النظام المخترق، بدأ المهاجم المجهول في استكشاف هيكل ملفات النظام بشكل يدوي ودقيق. ركز الهجوم بشكل أساسي على جمع بيانات حساسة للغاية قد تستخدم في هجمات لاحقة أو للبيع في الأسواق السوداء.
وشملت نشاطات المهاجم الخطوات الاستكشافية التالية:
- محاولة استخراج البيانات والمعلومات الحساسة من ملف الإعدادات
.env. - البحث الدقيق عن مفاتيح التشفير الخاصة ببروتوكول الاتصال الآمن SSH.
- قراءة واستعراض ملفات النظام الأساسية للبحث عن نقاط ضعف إضافية.
عاد المهاجم إلى النظام المخترق بعد مرور حوالي ساعة للتحقق من نشاط أي قراصنة آخرين خلال تلك الفترة. ومن اللافت للنظر أنه لم يقم بتثبيت أي برامج ضارة إضافية مثل برمجيات تعدين العملات الرقمية أو الأبواب الخلفية، مما يشير إلى تركيزه الحصري على سرقة البيانات الحساسة واستكشاف البيئة بهدوء.
استنتاجات ونصائح أمنية لحماية الأنظمة
تؤكد هذه الحادثة السيبرانية على السرعة الفائقة التي يتم بها تسليح الثغرات المكتشفة حديثاً. يراقب المهاجمون الإفصاحات الأمنية عن كثب، ويسارعون لاستغلالها خلال النافذة الزمنية الضيقة بين الإعلان عن الثغرة وتطبيق التصحيحات من قبل مديري الأنظمة.
هذا الواقع يقلص بشكل كبير من الوقت المتاح لفرق الحماية والدفاع للاستجابة. لذلك، يجب على جميع مسؤولي الأنظمة والمطورين تحديث منصة Marimo فوراً إلى الإصدار الأخير، وتطبيق أفضل ممارسات الأمان لتجنب أي اختراقات محتملة قد تؤدي إلى تسريب بيانات المؤسسات الحساسة.
