Le bogue permettant l’accès aux données des autres utilisateurs MCP a été trouvé un mois après la sortie du serveur.
Asana, une plate-forme de gestion du lieu de travail logiciel en tant que service, a déclaré cette semaine que son serveur MCP avait été temporairement décalé après avoir trouvé ce qu’il appelait un bogue. Le serveur était de retour en ligne mardi.
Mais selon les chercheurs du fournisseur de sécurité Upguard, The Hole, découvert le 4 juin, aurait également pu exposer des données appartenant à d’autres utilisateurs de la plate-forme de gestion du travail d’Asana.
Upguard cite Asana en disant que le bogue «aurait pu potentiellement exposer certaines informations de votre domaine Asana à d’autres utilisateurs d’Asana MCP dans les projets, équipes, tâches et autres objets Asana des autorisations de l’utilisateur MCP.»
Rien n’indique que les attaquants ont exploité le bogue ou que d’autres utilisateurs ont effectivement visualisé les informations accessibles via le bogue MCP, explique UpGuard.
L’incident est davantage la preuve que MCP est un protocole qui est encore en début de développement, explique Kellman Meghu, architecte principal de la sécurité de la société de conseil canadienne Deepcove Cybersecurity. «C’est un problème courant avec les serveurs MCP, c’est pourquoi nous nous éloignons d’eux. Les MCP ont tous ce problème.»
Qu’est-ce que MCP?
MPC est un protocole créé par le fournisseur d’IA Anthropic et Open Sourced en novembre dernier. La société l’a décrit comme «une nouvelle norme pour connecter les assistants d’IA aux systèmes où vit les données, y compris les référentiels de contenu, les outils commerciaux et les environnements de développement. Son objectif est d’aider les modèles frontaliers à produire des réponses meilleures et plus pertinentes.»
Les développeurs peuvent exposer leurs données via des serveurs MCP, a déclaré Anthropic, soit créer des applications AI (clients MCP) qui se connectent à ces serveurs. L’idée est que, au lieu de maintenir des connecteurs séparés pour chaque source de données, les développeurs peuvent désormais s’appuyer sur un protocole standard. La plate-forme Claude AI d’Anthropic prend en charge la connexion des serveurs MCP à l’application Claude Desktop.
Selon Upguard, Asana a publié son serveur MCP le 1er mai.
«Vous pouvez rencontrer des bogues, des erreurs ou des résultats inattendus», ajoute-t-il.
Asana affirme que son serveur MPC permet aux assistants AI et à d’autres applications d’accéder au graphique de travail ASANA afin que les clients puissent accéder aux données ASANA à partir d’applications d’IA compatibles, générer des rapports et des résumés en fonction des données ASANA, et analyser les données du projet et obtenir des suggestions alimentées par l’IA. Grâce à cela, un employé peut demander à un assistant d’IA, par exemple: «Trouvez toutes mes tâches incomplètes dues cette semaine», «Créez une nouvelle tâche dans le projet marketing qui m’a été attribué» ou «Montrez-moi le statut du projet de planification du Q2».
En tant que plates-formes AI comme Claude, Chatgpt, Microsoft Copilot et d’autres se multiplient, les développeurs sont impatients de façonner des moyens, tels que MCP, pour les connecter aux applications de productivité d’entreprise existantes. Cependant, il y a eu des avertissements que ces agents de l’IA, dont certains proviennent des fournisseurs de plateformes d’IA eux-mêmes, ont des risques de sécurité.
Le Meghu de DeepCove Cybersecurity note que certains agents de courtier AI, comme MCP, sont en fait des connexions de serveur-TCP à longue durée de vie. Il préfère une solution de connexion en utilisant le modèle RAG (Generation augmentée de récupération) avec un appel API qui peut être authentifié pour la sécurité. Entre autres avantages, RAG peut être configuré pour rechercher uniquement les données approuvées et non les informations utilisées dans la formation qui peuvent inclure des informations sensibles.
«C’est là que les leçons que nous avons apprises en termes de segmentation (de données) et de la façon dont nous traitons les API directs sont applicables (aux systèmes d’IA)», a-t-il dit, «mais ils ont jeté cela et sont allés avec ces connexions TCP à longue durée de vie qui ne peuvent pas vraiment être surveillées. Au moment où elle (une fuite de données) se produit, il est trop tard.»
Selon ce à quoi il se connecte, un serveur MCP peut être «un énorme vecteur d’attaque massif», a déclaré Meghu. Par exemple, a-t-il dit, si le serveur MCP est connecté à une plate-forme SIEM (Informations sur la sécurité et surveillance des événements) pour l’analyse des données de journal, un acteur de menace pourrait essayer d’accéder à ce serveur pour recueillir des données.
« Je pense que, comme tous les (nouveaux) protocoles, il est trop tôt pour le mettre en production », a-t-il ajouté. «Ils se sont précipités. Je pense qu’il existe de meilleures façons de le faire que nous n’avons pas encore compris… pourquoi ne pourrions-nous pas nous appuyer sur des protocoles connus comme JSON, Restapi? Pourquoi cela devait être un service spécial? Ils ne pensaient pas au contrôle d’accès dans le cadre du protocole?»
« Je m’attends à ce que beaucoup de protocoles comme celui-ci apparaissent, et j’espère que certains d’entre eux seront construits à partir de zéro avec la sécurité à l’esprit – contrôle de l’audit, authentification de chaque appel », a-t-il déclaré.
Conseils pour les OSC
- limiter la portée agressive: Assurez-vous que les serveurs de contexte comme MCP appliquent un isolement strict des locataires et l’accès à moins de privilège;
- Tout enregistrer: Maintenir des journaux granulaires de toutes les demandes, en particulier les requêtes générées par LLM, pour soutenir les enquêtes médico-légales;
- Assurer la surveillance manuelle lors de la réintroduction: Les reconnexions automatisées ou les pipelines de recyclage doivent être interrompus lorsque des incidents surviennent;
- traiter sérieusement les bogues internes: Même les défauts des logiciels internes peuvent avoir des conséquences sur l’exposition réelle.
