Anthropic claude

Le défaut RCE critique dans l’inspecteur MCP d’Anthropic expose les machines de développeur aux attaques distantes

Lucas Morel

Une valeur par défaut mal configurée dans l’outil d’inspecteur MCP permet aux attaquants d’exécuter des commandes arbitraires via CSRF et des défauts de navigateur Legacy, posant des risques sérieux aux développeurs d’IA et aux systèmes d’entreprise.

Un bogue critique du code à distance (RCE) dans l’outil d’inspecteur du protocole de contexte de modèle d’Anthropic (MCP) pourrait permettre aux attaquants d’exécuter des commandes arbitraires sur les machines de développeurs lorsqu’ils visitent un site Web malveillant.

L’inspecteur MCP est un outil qui aide les développeurs à tester et à déboguer les interactions d’agent AI à l’aide de MCP d’Anthropic, une norme ouverte qui permet aux agents de l’IA de communiquer avec des outils et des sources de données externes.

La vulnérabilité critique affecte tous les déploiements par défaut de l’outil d’inspecteur qui se lient à toutes les interfaces réseau, exposant le système en écoutant sur chaque connexion disponible. Cela ouvre la porte à un large éventail d’attaques, notamment le contrefaçon de demande de site transversal (CSRF), l’exécution de code distant (RCE) et l’accès non autorisé.

«Avec l’exécution du code sur la machine d’un développeur, les attaquants peuvent voler des données, installer des délais, se déplacer latéralement à travers les réseaux, des risques graves à l’égard des équipes de l’IA, des projets open-source et des adoptants d’entreprise en s’appuyant sur MCP», Avi Lumelsky, chercheur en sécurité chez Oligo Security – a déclaré la société de Cybersecurity.

Anthropic a corrigé la vulnérabilité de sa version 0.14.1 de l’inspecteur MCP.

Les projets open source utilisent l’inspecteur MCP sans sécurité

Pour soutenir l’écosystème MCP, les développeurs s’appuient sur des outils tels que l’inspecteur MCP qui offrent une visibilité en temps réel dans les flux de messages et les comportements d’agent régis par le protocole.

« L’outil d’inspecteur MCP s’exécute par défaut lorsque la commande MCP Dev est exécutée », a déclaré Lumelsky. «Il agit comme un serveur HTTP qui écoute les connexions, avec une configuration par défaut qui n’inclut pas des mesures de sécurité suffisantes comme l’authentification ou le chiffrement.» Cette erreur de configuration introduit une surface d’attaque majeure, permettant à quiconque sur le réseau local, ou même sur Internet public, d’accéder et d’exploiter potentiellement le serveur exposé.

L’inspecteur MCP est un outil essentiel pour les développeurs travaillant avec des systèmes d’IA complexes, y compris les principaux acteurs comme Microsoft et Google pour leurs environnements d’IA et de cloud. Une vulnérabilité affectant les déploiements open source présente des risques graves pour ces systèmes d’entreprise, a ajouté Lumelsky.

Alors que l’adoption de MCP accélère le rythme, les défauts de sécurité commencent à émerger, comme le bogue du connecteur MCP AI d’Asana qui a exposé les données de l’entreprise entre les locataires. L’incident, découvert un mois après le lancement, souligne la nécessité de réévaluer le protocole expérimental avant le déploiement plus large de l’entreprise.

Enchaîné avec un défaut hérité pour RCE

Oligo a démontré que le vecteur d’attaque combine deux défauts indépendants. Les attaquants pouvaient enchaîner le défaut de navigateur «0,0,0,0 jour» hérité, qui permet aux pages Web d’envoyer des demandes à 0,0.0.0 d’adresse que les navigateurs traitent comme localhost, à un critère de terminaison de style CSRF tirant parti du proxy de l’inspecteur sur STDIO de STDIO.

Le CSRF peut dégénérer à un RCE lorsque l’attaquant utilise la faille pour envoyer des demandes malveillantes. « Lorsqu’un attaquant peut élaborer une demande à l’inspecteur MCP à partir d’un contexte JavaScript du domaine public, cette demande peut déclencher des commandes arbitraires sur la machine de la victime, en gagnant efficacement le contrôle », a déclaré Lumelsky.

La recherche Oligo souligne que les configurations par défaut pourraient exposer involontairement des serveurs MCP aux attaques, ce qui donne potentiellement à la menace des acteurs une porte dérobée dans les machines des développeurs.

Alors que les 0,0,0,0 jours restent non corrigées dans le chrome et Firefox même après un an depuis la découverte, la faille MCP a été rapidement fixée par anthropique, en raison de sa gravité critique (CVSS 9,4 sur 10). Un avis NVD exhorte les clients à mettre immédiatement à mettre à niveau toutes les versions vulnérables (en dessous de 0,14,1).

Ensuite, lisez ceci:

  • Les LLMS devinent les URL de connexion, et c’est une bombe à temps de cybersécurité
  • Le guide en 5 étapes du CISO pour sécuriser les opérations d’IA
  • Les menaces de la chaîne d’approvisionnement de l’IA se trouvent – comme des pratiques de sécurité.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité