Living off AI
A Cato Networks biztonsági kutatói új, úgynevezett Living off AI típusú támadási láncot mutattak be, amely az Atlassian Model Context Protocolt (MCP) célozza. Az Atlassian MCP-t olyan AI-integrációs protokollként használják, amely automatikus, GenAI-alapú műveleteket tesz lehetővé Jira Service Management (JSM) rendszerekben, például jegyösszegzést vagy automatikus válaszokat. A sebezhetőség lényege, hogy külső felhasználó által beadott, ártatlannak tűnő támogatói jegybe rejtett prompt-injekció validálás nélkül kerül továbbításra egy belső felhasználónak, aki az MCP segítségével futtatja az utasítást. Mindez a belső felhasználó jogosultságával történik, így a támadó teljes hozzáférést kapott, anélkül hogy bejelentkezésre vagy közvetlen hozzáférésre szükség lett volna.
A Cato CTRL PoC támadás ezt szemléletesen demonstrálta egy jegyben elrejtett prompt segítségével eltulajdoníthatóvá váltak a belső adatok, amelyek egyszerűen visszaküldhetők a támadó jegybe. A támadási lánc lehetővé teszi adatlopást vagy rendszerkompromisszumot anélkül, hogy maga a támadó áttörné a belső hálózati védelmet. A kutatók a támadást további forgatókönyvekben is tesztelték, a partnerportálon keresztül is előállítható a megbízható belső felhasználó kihasználása, így akár új C2 csatornák is nyithatók.
Ez a támadási modell, ahol nem a támadó közvetlenül hajtja végre a rosszindulatú műveletet, hanem a belső AI-ügynök visz véghez számára engedélyezett feladatot, új helyzetet teremt a kiberbiztonságban. A Cato CTRL egyértelműen rávilágít arra, hogy az MCP-hez vagy más AI-integrációs megoldáshoz nem elég az infrastruktúrát decentralizálni, hanem szükséges a prompt-szűrés, kontextus-ellenőrzés és felhasználói interakció kontrollálása is — azaz emberi felügyeletre épülő belső megerősítések bevezetése olyan műveletekhez, amelyek érzékeny adatokhoz férhetnek hozzá.
