⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça desconhecido foi observado usando um agente de modelo de linguagem grande (LLM) para conduzir ações pós-comprometimento após obter acesso inicial após a exploração de uma rede Marimo acessível ao público usando uma vulnerabilidade recentemente divulgada.
“O invasor comprometeu um notebook Marimo acessível pela Internet via CVE-2026-39987, extraiu duas credenciais de nuvem do host comprometido, reproduziu-as através de um pool de saída espalhado para recuperar uma chave privada SSH do AWS Secrets Manager e usou essa chave para conduzir oito sessões SSH curtas contra um servidor bastião SSH downstream”, disse Sysdig.
"A fase bastião exfiltrou o esquema e todo o conteúdo de um banco de dados PostgreSQL interno em menos de dois minutos."
CVE-2026-39987 refere-se a uma vulnerabilidade crítica de execução remota de código pré-autenticado que afeta todas as versões do Marimo anteriores e incluindo 0.20.4. Ele permite que um invasor não autenticado execute comandos arbitrários do sistema. O problema foi resolvido na versão 0.23.0, lançada no mês passado.
Desde então, a falha de segurança tem sido explorada ativamente, com os agentes da ameaça a utilizá-la para iniciar o reconhecimento manual contra sistemas honeypot e tentar recolher dados sensíveis.
A última atividade documentada pela Sysdig segue o mesmo padrão, a principal diferença é que um agente LLM foi usado para conduzir a atividade pós-exploração. O incidente, de acordo com a empresa de segurança em nuvem, foi registrado em 10 de maio de 2026, com o invasor coletando credenciais do ambiente e, em seguida, usando a chave de acesso AWS coletada para realizar chamadas de API no AWS Secrets Manager e recuperar uma chave privada SSH.
Minutos depois, o agente da ameaça realizou a primeira autenticação SSH no servidor bastião SSH usando a chave recuperada, seguida pelo lançamento de oito sessões SSH paralelas no servidor downstream para desviar um banco de dados PostgreSQL interno. A cadeia de ataque ponta a ponta durou pouco mais de uma hora.
A Sysdig disse que descobriu quatro indicadores de que um agente LLM estava por trás da atividade. Primeiro, o invasor improvisou um dump do banco de dados sem qualquer conhecimento prévio do esquema. Em segundo lugar, um comentário de planejamento em chinês, "看还能做什么", traduzido como "Veja o que mais podemos fazer", vazou diretamente no fluxo de comando ao executar uma pesquisa de credenciais.
“O nome do host do banco de dados era opaco, sem identificador de aplicativo no disco e sem despejo de esquema pré-preparado, mas a cadeia ainda chegou a uma tabela de credenciais em poucos minutos”, disse Sysdig. “O invasor não precisa mais ver o seu ambiente para operar dentro dele.”
O terceiro sinal é que cada comando é projetado para consumo da máquina, com cada comando separado por um delimitador "---", juntamente com capturas de saída limitadas, desabilitando o comando "less" e descartando o fluxo de erros (stderr) para minimizar o ruído.
Por último, as transferências de valor são obtidas a partir da saída anterior da ferramenta. Em outras palavras, a maneira como certos valores, por exemplo, senhas de banco de dados, foram extraídos implica que um agente de IA alimente sua própria saída anterior – executando um comando cat do arquivo “~/.pgpass” – na próxima ação.
Em outra instância, um comando cat para imprimir o conteúdo de um arquivo específico ("cat ~/.ssh/id_ed25519") é precedido por um comando ls ("list") que passa o mesmo padrão de arquivo como entrada ("ls -la ~/.ssh/id_ed25519*") para confirmar que a chave SSH existe.
“Quando um operador com script cria um manual por alvo e o reutiliza, o obstáculo para adicionar um novo alvo é o tempo de engenharia”, concluiu Sysdig. "No entanto, um operador de agente carrega informações gerais sobre uma classe de aplicativos e compõe a cadeia ao vivo para melhor atender ao seu alvo. Aqui, a barra se torna o orçamento de inferência, não a autoria do manual."
"A propriedade relevante para o defensor de um agente no circuito é a adaptabilidade. Um invasor com script atinge um arquivo ausente, um esquema inesperado ou uma falha de autenticação e aborta ou cai em um substituto codificado. Um agente lê a surpresa, decide o que tentar em seguida e continua."
Para combater essa ameaça, é recomendado que os usuários atualizem para a versão mais recente do Marimo, auditem ambientes para quaisquer instâncias acessíveis publicamente e alternem credenciais, chaves de API e chaves SSH.
“O invasor comprometeu um notebook Marimo acessível pela Internet via CVE-2026-39987, extraiu duas credenciais de nuvem do host comprometido, reproduziu-as através de um pool de saída espalhado para recuperar uma chave privada SSH do AWS Secrets Manager e usou essa chave para conduzir oito sessões SSH curtas contra um servidor bastião SSH downstream”, disse Sysdig.
"A fase bastião exfiltrou o esquema e todo o conteúdo de um banco de dados PostgreSQL interno em menos de dois minutos."
CVE-2026-39987 refere-se a uma vulnerabilidade crítica de execução remota de código pré-autenticado que afeta todas as versões do Marimo anteriores e incluindo 0.20.4. Ele permite que um invasor não autenticado execute comandos arbitrários do sistema. O problema foi resolvido na versão 0.23.0, lançada no mês passado.
Desde então, a falha de segurança tem sido explorada ativamente, com os agentes da ameaça a utilizá-la para iniciar o reconhecimento manual contra sistemas honeypot e tentar recolher dados sensíveis.
A última atividade documentada pela Sysdig segue o mesmo padrão, a principal diferença é que um agente LLM foi usado para conduzir a atividade pós-exploração. O incidente, de acordo com a empresa de segurança em nuvem, foi registrado em 10 de maio de 2026, com o invasor coletando credenciais do ambiente e, em seguida, usando a chave de acesso AWS coletada para realizar chamadas de API no AWS Secrets Manager e recuperar uma chave privada SSH.
Minutos depois, o agente da ameaça realizou a primeira autenticação SSH no servidor bastião SSH usando a chave recuperada, seguida pelo lançamento de oito sessões SSH paralelas no servidor downstream para desviar um banco de dados PostgreSQL interno. A cadeia de ataque ponta a ponta durou pouco mais de uma hora.
A Sysdig disse que descobriu quatro indicadores de que um agente LLM estava por trás da atividade. Primeiro, o invasor improvisou um dump do banco de dados sem qualquer conhecimento prévio do esquema. Em segundo lugar, um comentário de planejamento em chinês, "看还能做什么", traduzido como "Veja o que mais podemos fazer", vazou diretamente no fluxo de comando ao executar uma pesquisa de credenciais.
“O nome do host do banco de dados era opaco, sem identificador de aplicativo no disco e sem despejo de esquema pré-preparado, mas a cadeia ainda chegou a uma tabela de credenciais em poucos minutos”, disse Sysdig. “O invasor não precisa mais ver o seu ambiente para operar dentro dele.”
O terceiro sinal é que cada comando é projetado para consumo da máquina, com cada comando separado por um delimitador "---", juntamente com capturas de saída limitadas, desabilitando o comando "less" e descartando o fluxo de erros (stderr) para minimizar o ruído.
Por último, as transferências de valor são obtidas a partir da saída anterior da ferramenta. Em outras palavras, a maneira como certos valores, por exemplo, senhas de banco de dados, foram extraídos implica que um agente de IA alimente sua própria saída anterior – executando um comando cat do arquivo “~/.pgpass” – na próxima ação.
Em outra instância, um comando cat para imprimir o conteúdo de um arquivo específico ("cat ~/.ssh/id_ed25519") é precedido por um comando ls ("list") que passa o mesmo padrão de arquivo como entrada ("ls -la ~/.ssh/id_ed25519*") para confirmar que a chave SSH existe.
“Quando um operador com script cria um manual por alvo e o reutiliza, o obstáculo para adicionar um novo alvo é o tempo de engenharia”, concluiu Sysdig. "No entanto, um operador de agente carrega informações gerais sobre uma classe de aplicativos e compõe a cadeia ao vivo para melhor atender ao seu alvo. Aqui, a barra se torna o orçamento de inferência, não a autoria do manual."
"A propriedade relevante para o defensor de um agente no circuito é a adaptabilidade. Um invasor com script atinge um arquivo ausente, um esquema inesperado ou uma falha de autenticação e aborta ou cai em um substituto codificado. Um agente lê a surpresa, decide o que tentar em seguida e continua."
Para combater essa ameaça, é recomendado que os usuários atualizem para a versão mais recente do Marimo, auditem ambientes para quaisquer instâncias acessíveis publicamente e alternem credenciais, chaves de API e chaves SSH.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #atacantes #usam #agente #llm #para #pósexploração #após #exploração #marimo #cve202639987
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário