Servidores Jupyter expuestos: una mala configuración permite acceso root en Linux

Jupyter Notebook es una herramienta ampliamente utilizada en investigación y ciencia de datos para crear y compartir documentos interactivos. Sin embargo, su creciente adopción también acarrea riesgos de seguridad, especialmente cuando se configura de forma insegura o se expone sin autenticación.
El abuso de su API de terminal puede dar acceso de root a atacantes remotos, comprometiendo así la integridad de los sistemas afectados.

La vulnerabilidad surge al ejecutar Jupyter Notebook como ‘root’ y permitir el acceso al endpoint ‘/api/terminals’ sin controles de autenticación o restricciones de red.
A través de herramientas como ‘websocat’, un atacante puede conectarse y abrir una terminal, ejecutando comandos arbitrarios con permisos elevados.
Los archivos de configuración localizados en ‘/root/.local/share/jupyter/runtime/’ pueden ser manipulados para mantener el acceso o realizar movimientos laterales.

El principal riesgo es la ejecución de código arbitrario como usuario ‘root’, lo que permite tomar control completo del servidor, instalar puertas traseras o acceder a datos sensibles.
En entornos compartidos o corporativos, varios usuarios y proyectos podrían verse afectados, facilitando además ataques de ransomware o filtraciones de información confidencial.

Se recomienda no ejecutar Jupyter Notebook con privilegios de root y restringir el acceso a la interfaz solo a redes de confianza. Es indispensable activar autenticación basada en contraseñas o tokens fuertes y, si es posible, deshabilitar el uso de terminales remotas. Asimismo, se sugiere auditar periódicamente las instancias y revisar los registros de actividad para detectar accesos no autorizados.

Configurar y auditar correctamente servicios como Jupyter Notebook es vital para mantener seguros los sistemas de análisis de datos. Aplicar los principios de menor privilegio y segmentar el acceso son claves para prevenir este tipo de incidentes.