Gefährliche Lücken im MCP-SDK:: Wie Angreifer ganze Lieferketten kapern könnten

Die besondere Brisanz liegt darin, dass Entwickler-Token in vielen Organisationen als sichere Zugangsschlüssel für automatisierte Softwareabläufe und zum Signieren von Code dienen. Wird ein solcher Token kompromittiert, kann ein Angreifer manipulierten Code als legitimes Update an Kunden ausliefern. Die potenziellen Folgen reichen von Sabotage über Datendiebstahl bis hin zur vollständigen Unterwanderung ganzer Produktlinien.

Cato Networks identifiziert die Ursache in zwei fehlkonfigurierten Standardparametern des Software Development Kits (SDK): einer zu offenen Voreinstellung für Cross-Origin Resource Sharing (CORS) sowie einer unzureichenden Validierung von Redirect-URIs (Uniform Resource Identifier). Damit lassen sich zentrale Schritte des Autorisierungsprozesses durch Angreifer übernehmen. Besonders alarmierend: Für den Angriff ist keine eigene Schwachstelle erforderlich, das Software Development Kit verhält sich technisch korrekt – doch seine Standardwerte öffnen ein Einfallstor.

Wie der Angriff abläuft

Das Risiko ergibt sich aus einem simplen Szenario: Ein Entwickler ist im System eingeloggt und besucht eine präparierte Webseite. Diese Webseite kann den kompletten OAuth-Prozess kapern, einen eigenen Client registrieren und anschließend automatisch Token austauschen. In einem Proof of Concept demonstrierte Cato, wie damit vollständiger Zugriff auf Bitbucket-Projekte möglich wird.

Mit den erbeuteten Token lassen sich nicht nur Quelltexte auslesen, sondern auch verändern oder überschreiben. Das Ergebnis ist besonders kritisch, da automatisch arbeitende Build-Systeme so manipulierten Code signieren und veröffentlichen könnten. Die stille Übernahme einer Entwickleridentität könnte sich damit unbemerkt durch die gesamte Lieferkette ziehen – ein Szenario, das Erinnerungen an den Angriff auf SolarWinds weckt.

Komfort als Risiko: Wenn Standards unsicher sind

Die Schwachstellen im SDK zeigen ein grundlegendes Problem moderner Entwicklungsumgebungen: Viele Anbieter setzen auf komfortorientierte Standardkonfigurationen, die schnelle Integration ermöglichen sollen. Doch gerade in einer Zeit, in der automatisierte Softwareprozesse und Identitäten von Entwicklern eng miteinander verzahnt sind, gewinnt die Absicherung solcher Standards zentrale Bedeutung.

Cato betont, dass die Kombination aus offenen CORS-Regeln und nicht streng geprüften Redirect-Adressen ein erhebliches Risiko darstellt. Da keine zusätzliche Schwachstelle ausgenutzt werden muss, ist der Angriff besonders einfach umzusetzen. Unternehmen sollten daher unverzüglich prüfen, ob sie das Model Context Protocol SDK einsetzen und wie dessen Konfiguration ausgestaltet ist.

Schutz durch strikte Konfiguration und GenAI-Sicherheitsrichtlinien

Um die Integrität von Software-Lieferketten zu sichern, empfehlen die Experten eine Reihe von Maßnahmen. Dazu zählen streng definierte CORS-Regeln, präzise festgelegte Redirect-URIs und zusätzliche Kontrollen auf Netzwerkebene. Netzbasierte Sicherheitsmechanismen, die speziell für den Umgang mit generativer Künstlicher Intelligenz entwickelt wurden, können unbefugte Token-Nutzung, Datenabfluss und die Ausführung nicht autorisierter KI-Prozesse frühzeitig erkennen.

Zudem sollten Unternehmen konsequent überwachen, wie SDKs in ihren Entwicklungsumgebungen eingesetzt werden. Gerade in hochautomatisierten Pipelines reichen kleine Konfigurationsfehler aus, um weitreichende Schäden anzurichten. Die Verbindung aus sicher konfigurierten SDKs und intelligenten Sicherheitsrichtlinien wird damit zum zentralen Baustein moderner Lieferkettensicherheit.

Die vollständige technische Analyse ist im aktuellen Blog von Cato CTRL im englischen Original verfügbar.

Weitere Artikel zum Thema: 

Studie: Software-Lieferkette ist das größte Sicherheitsrisiko

Cyberangriffe auf die Lieferkette: Das unterschätzte Einfallstor für Hacker

Reifeprüfung für die IT-Security