Celah Keamanan Marimo CVE-2026-39987 Dieksploitasi dalam 10 Jam Setelah Pengumuman

Kerentanan keamanan kritis di Marimo, sebuah open-source Python notebook untuk data science dan analisis, telah dieksploitasi hanya dalam waktu 10 jam setelah diumumkan secara publik, menurut temuan dari Sysdig.

Detail Kerentanan Marimo CVE-2026-39987

Kerentanan ini berlabel CVE-2026-39987 dengan skor CVSS 9.3, merupakan celah eksekusi kode jarak jauh tanpa autentikasi (unauthenticated remote code execution) yang memengaruhi semua versi Marimo sebelum dan termasuk versi 0.20.4. Masalah ini telah diperbaiki pada versi terbaru, yaitu 0.23.0.

Menurut pernyataan resmi pengelola Marimo, "Endpoint WebSocket terminal /terminal/ws tidak memiliki validasi autentikasi, memungkinkan penyerang tanpa otentikasi untuk mendapatkan shell PTY penuh dan menjalankan perintah sistem secara sembarangan."

Lebih lanjut dijelaskan, "Berbeda dengan endpoint WebSocket lain seperti /ws yang sudah menerapkan validate_auth() untuk autentikasi, endpoint /terminal/ws hanya memeriksa mode berjalan dan dukungan platform sebelum menerima koneksi, sehingga melewati verifikasi autentikasi sepenuhnya."

Artinya, penyerang dapat memperoleh shell interaktif penuh pada instansi Marimo yang terekspos hanya dengan satu koneksi WebSocket tanpa perlu kredensial apapun.

Serangan Nyata dan Eksploitasi Cepat

Sysdig melaporkan bahwa mereka mengamati percobaan eksploitasi pertama terhadap kerentanan ini dalam waktu hanya 9 jam 41 menit setelah pengumuman publik. Dalam hitungan menit, serangan pencurian kredensial berhasil dilakukan, meskipun saat itu belum ada kode proof-of-concept (PoC) yang tersedia.

Pelaku yang belum diketahui identitasnya tersebut mengakses endpoint WebSocket /terminal/ws pada sistem honeypot dan melakukan rekognisi manual untuk menjelajahi sistem file. Beberapa menit kemudian, mereka mencoba secara sistematis untuk mengakses data dari file .env, mencari kunci SSH, dan membaca berbagai file lain.

Uniknya, pelaku kembali ke honeypot tersebut satu jam kemudian untuk mengakses isi file .env dan memeriksa apakah ada aktor ancaman lain yang aktif selama periode tersebut. Tidak ada muatan berbahaya lain seperti cryptocurrency miner atau backdoor yang terpasang.

"Penyerang berhasil membuat eksploitasi dari deskripsi advisori, mengakses endpoint terminal tanpa autentikasi, dan mulai menjelajahi lingkungan yang dikompromikan secara manual," kata perusahaan keamanan cloud tersebut. "Penyerang melakukan koneksi sebanyak empat kali dalam rentang 90 menit dengan jeda antar sesi, konsisten dengan operator manusia yang menargetkan daftar sasaran, kemudian kembali untuk memastikan temuan."

Implikasi dan Peringatan untuk Pengguna Marimo

Kecepatan eksploitasi celah yang baru diumumkan ini menunjukkan bahwa pelaku ancaman sangat memantau pengumuman kerentanan dan langsung memanfaatkannya sebelum pengguna melakukan patch.

Hal ini memperpendek waktu respon yang dimiliki oleh tim keamanan dan administrator sistem untuk menutup celah sesaat setelah pengumuman publik.

Para ahli menegaskan, "Anggapan bahwa penyerang hanya menargetkan platform yang luas penggunaannya adalah salah. Aplikasi yang dapat diakses internet dengan advisori kritis tetap menjadi sasaran, tanpa memandang popularitasnya."

Langkah Pencegahan dan Rekomendasi

1. Segera perbarui Marimo ke versi 0.23.0 atau versi terbaru yang sudah memperbaiki kerentanan ini.
2. Nonaktifkan akses WebSocket /terminal/ws jika tidak diperlukan.
3. Perkuat pengamanan jaringan agar instansi Marimo tidak dapat diakses langsung dari internet publik.
4. Monitor log akses dan aktivitas aneh pada sistem yang menjalankan Marimo.
5. Lakukan audit dan pengujian keamanan secara berkala untuk mendeteksi potensi celah lain.

Analisis Redaksi

Menurut pandangan redaksi, insiden eksploitasi cepat ini menegaskan betapa pentingnya respons cepat terhadap pengumuman kerentanan untuk semua perangkat lunak, tak terkecuali aplikasi open-source seperti Marimo yang mungkin dianggap kurang populer. Ancaman tidak memandang skala penggunaan, melainkan kerentanan yang bisa dimanfaatkan.

Kasus ini juga menunjukkan bahwa mekanisme autentikasi yang tidak konsisten dalam satu aplikasi dapat menjadi pintu masuk utama bagi serangan serius, khususnya saat fungsi terminal WebSocket tidak diamankan dengan benar. Hal ini harus menjadi pelajaran bagi pengembang untuk melakukan audit keamanan menyeluruh sebelum merilis fitur baru.

Kedepannya, pengguna dan organisasi perlu meningkatkan kesadaran dan prosedur patching agar tidak menjadi korban serangan yang memanfaatkan celah segera setelah diumumkan. Memperkuat pengawasan terhadap lalu lintas jaringan dan menerapkan prinsip keamanan berlapis juga sangat dianjurkan.

Untuk informasi lebih lanjut dan pembaruan terkini, kunjungi sumber asli berita ini di The Hacker News dan ikuti perkembangan berita keamanan siber di media terpercaya lainnya.