Attackers Use LLM Agent for Post-Exploitation After Marimo CVE-2026-39987 Exploit

Exploitation automatisée : Des agents LLM utilisés pour le mouvement latéral

Des attaquants utilisent désormais des agents basés sur des modèles de langage (LLM) pour automatiser la phase de post-exploitation. Cette approche adaptative permet de mener des attaques complexes, comme l’exfiltration de bases de données, en un temps record sans connaissance préalable de l’environnement ciblé.

Points clés :

• Mode opératoire : L’attaquant accède à un hôte vulnérable, extrait des identifiants cloud, récupère des clés SSH via AWS Secrets Manager, et utilise ces accès pour compromettre des serveurs internes.
• Usage de l’IA : L’agent LLM détecte et analyse les structures des bases de données en temps réel, s’adapte aux imprévus (fichiers absents, schémas inconnus) et enchaîne les commandes de manière autonome.
• Preuves de l’utilisation d’un agent : Présence de commentaires de planification (en chinois), structure de commandes optimisée pour une lecture machine (délimiteurs “—”, suppression des erreurs) et réutilisation dynamique des sorties de commandes précédentes.

Vulnérabilité exploitée :

• CVE-2026-39987 : Vulnérabilité critique d’exécution de code à distance (RCE) pré-authentifiée affectant Marimo (versions 0.20.4 et antérieures).

Recommandations :

• Mise à jour immédiate : Passer à la version 0.23.0 ou supérieure de Marimo pour corriger la vulnérabilité.
• Réduction de la surface d’attaque : Auditer les instances Marimo pour s’assurer qu’aucune n’est exposée publiquement sur Internet.
• Hygiène de sécurité : Effectuer une rotation immédiate des identifiants cloud, des clés API et des clés SSH potentiellement exposées lors de la compromission.

Source