Amenaza de LLM en la explotación de CVE-2026-39987
Publicado el
Uso de un agente LLM en ciberataques
Recientemente, se ha observado que un actor de amenazas desconocido ha implementado un agente de modelo de lenguaje grande (LLM) para llevar a cabo acciones post-explotación tras haber obtenido acceso inicial mediante la explotación de la vulnerabilidad CVE-2026-39987 en un sistema Marimo.
La vulnerabilidad en cuestión, que afecta a todas las versiones de Marimo anteriores o iguales a la 0.20.4, permite a un atacante no autenticado ejecutar comandos arbitrarios en el sistema. Esta falla fue corregida en la versión 0.23.0, lanzada el mes pasado, pero ya había comenzado a ser explotada activamente por los cibercriminales.
Detalles del ataque
Según un informe de Sysdig, el atacante comprometió un notebook de Marimo accesible desde Internet a través de la vulnerabilidad mencionada. A partir de ahí, extrajo dos credenciales de la nube del host comprometido y las reutilizó a través de un pool de salida para recuperar una clave privada SSH del AWS Secrets Manager. Esta clave se utilizó para establecer ocho sesiones SSH cortas contra un servidor bastión. En menos de dos minutos, el atacante logró exfiltrar el esquema y el contenido completo de una base de datos PostgreSQL interna.
El incidente se documentó el 10 de mayo de 2026, y durante el ataque, el cibercriminal recopiló credenciales del entorno antes de realizar llamadas API contra AWS Secrets Manager para recuperar la clave SSH. Esta técnica permitió al atacante llevar a cabo la primera autenticación SSH en el servidor bastión utilizando la clave recuperada, y poco después, lanzar múltiples sesiones SSH para extraer la base de datos interna.
Indicadores de uso de LLM
Sysdig identificó cuatro indicadores que sugieren que un agente LLM fue el responsable de esta actividad. Primero, el atacante realizó un volcado de base de datos sin tener conocimiento previo del esquema. En segundo lugar, se filtró un comentario en chino, "看还能做什么", que se traduce como "Veamos qué más podemos hacer", durante la ejecución de una búsqueda de credenciales.
El tercer indicador es que cada comando estaba diseñado para el consumo por parte de máquinas, utilizando delimitadores y capturas de salida acotadas, lo que minimiza el ruido en el proceso. Por último, los valores transferidos se obtenían de la salida de herramientas anteriores, sugiriendo que un agente de IA estaba alimentando su propia salida en las siguientes acciones.
Adaptabilidad del agente
Sysdig concluyó que la propiedad más relevante de un agente en el proceso es su adaptabilidad. A diferencia de un atacante scriptado, que se detendría ante un fallo de autenticación o un esquema inesperado, un agente puede leer la sorpresa, decidir qué intentar a continuación y continuar con el ataque.
Recomendaciones de seguridad
Para mitigar esta amenaza, se recomienda a los usuarios que actualicen a la última versión de Marimo, auditen sus entornos en busca de instancias accesibles públicamente y roten credenciales, claves API y claves SSH. La rápida evolución de las técnicas de ataque requiere que las organizaciones se mantengan alerta y adopten medidas proactivas para proteger sus sistemas.