Los investigadores de ciberseguridad descubren vulnerabilidades de seguridad críticas en el Proyecto Inspector del Protocolo de Contexto del Modelo (MCP) Proyecto de la Compañía de Inteligencia Artificial (AI) Anthrope, que causa la ejecución del código remoto (RCE), lo que permite a los atacantes acceder al host accediendo completamente al host.
La vulnerabilidad rastreada como CVE-2025-49596 tiene una puntuación CVSS de 9.4 de un máximo de 10.0.
«Este es uno de los primeros RCE importantes en el ecosistema de MCP humano, exponiendo un nuevo ataque de clase basado en el navegador contra las herramientas de desarrollador de IA», dijo Avi Lumelsky de Oligo Security en un informe publicado la semana pasada.
«La ejecución del código en la máquina de un desarrollador permite a los atacantes robar datos, instalar puertas traseras y mover la red de lado. Esto puede resaltar los riesgos graves de los equipos de IA, los proyectos de código abierto y los adoptantes empresariales que dependen de MCP».
Introducido por la humanidad en noviembre de 2024, MCP es un protocolo abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje a gran escala (LLM) integran y comparten datos con fuentes y herramientas de datos externas.
El inspector de MCP es una herramienta de desarrollador para probar y depurar servidores MCP, exponiendo ciertas características a través de protocolos, lo que permite que los sistemas de IA accedan e interactúen con información más allá de los datos de capacitación.
Contiene dos componentes. Incluye un cliente que proporciona una interfaz interactiva para la prueba y la depuración, y un servidor proxy que une la interfaz de usuario web a varios servidores MCP.
Dicho esto, una consideración clave de seguridad a tener en cuenta es que no debe exponer su servidor a una red no confiable, ya que tiene permiso para generar procesos locales y puede conectarse a un servidor MCP designado.
Este aspecto, junto con el hecho de que los desarrolladores de configuración predeterminados lo usan para girar las versiones locales de la herramienta, implica riesgos de seguridad «críticos», como la falta de autenticación y el cifrado, abriendo nuevas rutas de ataque para cada oligo.
«Este error crea una superficie de ataque crítico ya que cualquier persona con acceso a redes locales o Internet público puede interactuar y explotar estos servidores», dijo Lumersky.
Este ataque ocurre verificando los defectos de seguridad conocidos que afectan los navegadores web modernos, llamados 0.0.0.0 días.
«Una versión del inspector MCP por debajo de 0.14.1 es vulnerable a la ejecución de código remoto debido a ninguna autenticación entre el cliente del inspector y el proxy, lo que permite solicitudes que no se les permite invocar comandos MCP a través de STDIO.
0.0.0.0 días es una vulnerabilidad de 19 años en los navegadores web modernos que podrían permitir que los sitios web maliciosos violen las redes locales. Esto aprovechará el hecho de que los navegadores no pueden manejar de manera segura la dirección IP 0.0.0.0, lo que lleva a la ejecución del código.
«Los atacantes pueden explotar este defecto creando un sitio web malicioso que envía solicitudes a un servicio local que se ejecuta en un servidor MCP, obteniendo así la capacidad de ejecutar comandos arbitrarios en la máquina del desarrollador», explicó Lumelsky.
«El hecho de que la configuración predeterminada expone los servidores MCP a este tipo de ataques significa que muchos desarrolladores pueden abrir inadvertidamente las puertas traseras a sus máquinas».
Específicamente, la implementación del concepto (POC) utiliza un punto final de evento de servidor (SSE) para enviar solicitudes maliciosas de sitios web controlados por el atacante para lograr RCE en máquinas que ejecutan la herramienta, incluso cuando se escucha en Localhost (127.0.0.1).
Esto se debe a que la dirección IP 0.0.0.0 le dice al sistema operativo que escuche en todas las direcciones IP asignadas a la máquina, incluida la interfaz de bucle de bucle local (es decir, localhost).
En un escenario de ataque hipotético, un atacante puede configurar una página web falsa y visitar y visitar al desarrollador. En ese momento, el JavaScript malicioso incrustado en la página envía una solicitud a 0.0.0.0:6277 (el puerto predeterminado en el que se ejecuta el proxy) e indica a la persona a cargo del inspector MCP que ejecute el comando arbitrario.
El ataque también puede aprovechar las técnicas de reembolso del DNS para crear un registro de DNS forjado que apunte a 0.0.0.0:6277 o 127.0.0.1:6277 para evitar los controles de seguridad y obtener privilegios de RCE.
Tras la divulgación responsable en abril de 2025, la vulnerabilidad fue abordada por el mantenimiento del proyecto el 13 de junio, con la versión 0.14.1 lanzada. La solución agrega un token de sesión al servidor proxy e incorpora la validación de origen para conectar completamente el vector de ataque.
«Los servicios locales pueden parecer seguros, pero las capacidades de enrutamiento de red de los navegadores y los clientes de MCP a menudo los exponen a Internet público», dice Oligo.
«La mitigación agrega las autorizaciones que faltaban de forma predeterminada antes de la solución, valida los encabezados del host y el origen en HTTP, y asegura que el cliente realmente esté visitando desde un dominio de confianza conocido. Por defecto, el servidor bloquea el DNS Rebinking y los ataques CSRF».
Source link
