Image credit: Freepix
Pencurian Kredensial di Platform Marimo – Hanya dalam waktu sepuluh jam setelah celah keamanan diumumkan ke publik, para peretas telah meluncurkan serangan aktif terhadap platform notebook Python, Marimo.
Kecepatan serangan ini menunjukkan betapa krusialnya jendela waktu antara penemuan celah (vulnerability) dan tindakan perbaikan oleh pengguna.
Para aktor ancaman terbukti mampu mengubah informasi teknis dari penasihat keamanan menjadi senjata digital untuk mencuri data sensitif dalam waktu singkat.
Celah keamanan yang diidentifikasi sebagai CVE-2026-39987 ini mendapatkan skor kerentanan kritis sebesar 9.3 dari 10.
Platform Marimo sendiri merupakan alat populer yang digunakan oleh ilmuwan data, praktisi machine learning, serta pengembang aplikasi data di seluruh dunia.
Kerentanan ini memungkinkan eksekusi kode jarak jauh tanpa memerlukan proses autentikasi, yang berarti siapa pun bisa masuk dan menguasai sistem jika celah tersebut belum ditambal.
|
Baca juga: Indikasi Spyware di Dalam Ponsel |
Pintu Belakang di Terminal Interaktif
Masalah utama pada kerentanan ini terletak pada titik akhir (endpoint) WebSocket /terminal/ws. Secara teknis, platform ini menyediakan terminal interaktif bagi penggunanya, namun versi 0.20.4 dan sebelumnya gagal menerapkan pemeriksaan autentikasi yang tepat pada jalur komunikasi tersebut.
Akibatnya, setiap klien yang tidak terverifikasi dapat terhubung dan mendapatkan akses langsung ke cangkang interaktif (interactive shell). Akses ini berjalan dengan hak istimewa yang sama dengan proses Marimo itu sendiri.
Jika platform dijalankan dalam mode edit atau terpapar ke jaringan publik menggunakan perintah –host 0.0.0.0, maka risiko sistem tersebut untuk dikuasai sepenuhnya oleh pihak asing menjadi sangat tinggi.
Tiga Menit yang Merugikan
Peneliti keamanan mencatat bahwa pergerakan peretas di lapangan sangat terencana dan metodis. Dalam 12 jam pertama sejak rilis detail kerentanan, setidaknya 125 alamat IP terpantau melakukan aktivitas pengintaian.
Berikut adalah alur serangan yang berhasil didokumentasikan:
- Validasi Cepat: Penyerang pertama-tama melakukan tes koneksi ke titik akhir /terminal/ws untuk memastikan bahwa eksekusi perintah jarak jauh benar-benar bisa dilakukan. Proses ini hanya memakan waktu beberapa detik.
- Pengintaian Manual: Berbeda dengan skrip otomatis, pelaku tampaknya bekerja secara manual. Mereka menjalankan perintah dasar seperti pwd, whoami, dan ls untuk memahami lingkungan target, diikuti dengan upaya navigasi ke direktori kunci.
- Pemanenan Kredensial: Fokus utama penyerang adalah mencuri informasi berharga. Mereka langsung menargetkan file .env untuk mengekstrak variabel lingkungan yang berisi kredensial cloud dan rahasia aplikasi. Selain itu, mereka mencari kunci SSH yang tersimpan di sistem.
Seluruh fase pencurian kredensial ini diselesaikan dalam waktu kurang dari tiga menit. Hal yang menarik perhatian peneliti adalah penyerang tidak mencoba memasang pintu belakang permanen (backdoor).
Atau perangkat penambang kripto. Mereka memilih operasi yang cepat dan senyap, masuk, ambil data berharga, lalu menghilang.
Mitigasi dan Solusi dari Peneliti
Bagi organisasi atau individu yang menggunakan Marimo sebagai bagian dari alur kerja pengolahan data mereka, sangat disarankan untuk melakukan tindakan pencegahan segera.
Mengandalkan keberuntungan di tengah serangan aktif yang begitu cepat adalah risiko yang tidak perlu diambil. Beberapa langkah darurat yang direkomendasikan meliputi:
- Segera tingkatkan versi platform Anda ke versi 0.23.0 yang telah dirilis oleh pengembang untuk menutup celah keamanan ini secara permanen.
- Jika pembaruan belum memungkinkan untuk dilakukan saat ini, langkah mitigasi yang paling efektif adalah memblokir atau menonaktifkan total akses ke titik akhir /terminal/ws melalui konfigurasi jaringan.
- Karena peretas terdeteksi menargetkan file kredensial, sangat krusial bagi pengguna yang terdampak untuk segera mengganti semua kunci API, kata sandi, dan rahasia cloud yang tersimpan di dalam file lingkungan mereka.
- Gunakan firewall untuk membatasi akses eksternal ke platform notebook dan pastikan platform tidak terpapar langsung ke internet publik tanpa perlindungan tambahan seperti VPN atau otentikasi lapis kedua.
Kecepatan Adalah Kunci
Kasus Marimo di tahun ini menjadi pengingat pahit bagi komunitas pengembang open source code bahwa transparansi informasi memiliki celah keamanan.
Di satu sisi, informasi tersebut membantu pengguna bersiap, namun di sisi lain, ia memberikan peta jalan bagi peretas untuk menyerang sebelum pengguna sempat bereaksi.
Menggunakan solusi keamanan seperti ESET dapat membantu memantau aktivitas mencurigakan pada tingkat jaringan dan mencegah eksekusi skrip jahat dari titik akhir yang tidak dikenal.
Dalam era di mana serangan terjadi hanya dalam hitungan jam setelah celah ditemukan, kesigapan dalam melakukan pembaruan keamanan adalah garis pertahanan terdepan yang tidak bisa ditawar lagi.
Sumber berita:
