el más reciente

― Advertisement ―

Relacionada

spot_img
HomeTecnologíaVulnerabilidad crítica en el MCP de Anthrope expone máquinas de desarrolladores a...

Vulnerabilidad crítica en el MCP de Anthrope expone máquinas de desarrolladores a exploits remotos

Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica de seguridad en el esquema Inspector de Protocolo de Contexto Maniquí de Contexto (MCP) de la compañía químico (AI) que podría dar lado a la ejecución de código remoto (RCE) y permitir que un atacante obtenga entrada completo a los hosts.

La vulnerabilidad, rastreada como CVE-2025-49596, tiene una puntuación CVSS de 9.4 de un mayor de 10.0.

“Este es uno de los primeros RCE críticos en el ecosistema MCP de Anthrope, exponiendo una nueva clase de ataques basados ​​en el navegador contra las herramientas de desarrolladores de IA”, dijo Avi Lumelsky de Oligo Security en un noticia publicado la semana pasada.

“Con la ejecución del código en la máquina de un desarrollador, los atacantes pueden robar datos, instalar puertas traseras y moverse lateralmente a través de las redes, lo que destaca los riesgos graves para los equipos de IA, los proyectos de código hendido y los adoptantes empresariales que dependen de MCP”.

MCP, introducido por Anthrope en noviembre de 2024, es un protocolo hendido que estandariza la forma en que las aplicaciones del Maniquí de idioma vasto (LLM) integran y comparten datos con fuentes y herramientas de datos externas.

El Inspector MCP es una aparejo de desarrollador para probar y depurar servidores MCP, que exponen capacidades específicas a través del protocolo y permiten que un sistema de IA acceda e interactúe con información más allá de sus datos de capacitación.

Contiene dos componentes, un cliente que proporciona una interfaz interactiva para la prueba y la depuración, y un servidor proxy que une la interfaz de sucesor web a diferentes servidores MCP.

Leer  Los defectos de Voyager PHP sin parpadear dejan los servidores abiertos a exploits RCE de un solo clic

Dicho esto, una consideración esencia de seguridad a tener en cuenta es que el servidor no debe estar expuesto a ninguna red no confiable, ya que tiene permiso para suscitar procesos locales y puede conectarse a cualquier servidor MCP especificado.

Este aspecto, contiguo con el hecho de que los desarrolladores de configuración predeterminados usan para doblar una lectura circunscrito de la aparejo vienen con riesgos de seguridad “significativos”, como la autenticación y el oculto faltantes, abre una nueva vía de ataque, Per Oligo.

“Esta configuración errónea crea una superficie de ataque significativa, ya que cualquier persona con entrada a la red circunscrito o en Internet sabido puede interactuar y explotar estos servidores”, dijo Lumelsky.

El ataque se desarrolla al encadenar un defecto de seguridad conocido que afecta los navegadores web modernos, denominado 0.0.0.0 días, con una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) en el inspector (CVE-2025-49596) para ejecutar código caprichoso en el host simplemente al saludar un sitio web solapado.

“Las versiones del inspector de MCP por debajo de 0.14.1 son vulnerables a la ejecución de código remoto oportuno a la errata de autenticación entre el cliente del inspector y el proxy, lo que permite solicitudes no autenticadas para divulgar comandos MCP sobre STDIO”, dijeron los desarrolladores del inspector de MCP en un asesor para CVE-2025-49596.

0.0.0.0 Day es una vulnerabilidad de 19 abriles en los navegadores web modernos que podrían permitir que los sitios web maliciosos violen las redes locales. Aprovecha la incapacidad de los navegadores para manejar de forma segura la dirección IP 0.0.0.0, lo que lleva a la ejecución del código.

Leer  Donot APT expande operaciones, se dirige a los ministerios de extranjeros europeos con malware Loptikmod

“Los atacantes pueden explotar este defecto creando un sitio web solapado que envía solicitudes a los servicios de LocalHost que se ejecutan en un servidor MCP, obteniendo así la capacidad de ejecutar comandos arbitrarios en la máquina de un desarrollador”, explicó Lumelsky.

“El hecho de que las configuraciones predeterminadas exponen los servidores MCP a este tipo de ataques significa que muchos desarrolladores pueden desplegar inadvertidamente una puerta trasera a su máquina”.

Específicamente, el punto final de prueba de concepto (POC) utiliza el punto final de eventos de servidor (SSE) para expedir una solicitud maliciosa de un sitio web controlado por el atacante para alcanzar RCE en la máquina que ejecuta la aparejo incluso si está escuchando en Localhost (127.0.0.1).

Esto funciona porque la dirección IP 0.0.0.0 le dice al sistema operante que escuche en todas las direcciones IP asignadas a la máquina, incluida la interfaz de tirabuzón de tirabuzón circunscrito (es proponer, localhost).

En un ambiente de ataque hipotético, un atacante podría configurar una página web falsa y engañar a un desarrollador para que lo visite, en ese momento, el Javascript solapado incrustado en la página enviaría una solicitud a 0.0.0.0:6277 (el puerto predeterminado en el que se ejecuta el proxy), instruyendo al servidor proxy del inspector MCP para ejecutar comandos arbitrarios.

El ataque asimismo puede beneficiarse las técnicas de reembolso del DNS para crear un registro de DNS forjado que apunte a 0.0.0.0:6277 o 127.0.0.1:6277 para evitar los controles de seguridad y obtener privilegios de RCE.

A posteriori de la divulgación responsable en abril de 2025, los mantenedores del esquema abordaron la vulnerabilidad el 13 de junio con el divulgación de la lectura 0.14.1. Las correcciones agregan un token de sesión al servidor proxy e incorporan la brío de origen para conectar completamente el vector de ataque.

Leer  Dos fallas críticas descubiertas en Wonershare Repairit Exposing Data de usuario y modelos de IA

“Los servicios de localhost pueden parecer seguros, pero a menudo están expuestos a Internet sabido oportuno a las capacidades de enrutamiento de redes en navegadores y clientes de MCP”, dijo Oligo.

“La mitigación agrega autorización que faltaba en el valía predeterminado antaño de la opción, así como compulsar los encabezados de host y origen en HTTP, asegurándose de que el cliente efectivamente esté visitando desde un dominio de confianza conocido. Ahora, por defecto, el servidor bloquea el REDS DNS y los ataques CSRF”.

El más popular

spot_img