IT-Sicherheitsforscher haben eine kritische Sicherheitslücke in dem KI-Tool MCP Inspector von Anthropic entdeckt. Angreifer können dadurch ohne vorherige Anmeldung Code auf verwundbaren Systemen ausführen.

In der Schwachstellenbeschreibung erklären die Entdecker, dass es keinen Authentifizierungsmechanismus zwischen MCP-Inspector-Client und MCP Proxy gebe. Das ermöglicht das Unterschieben von MCP-Befehlen über HTTP stdio, am Ende bis zur Ausführung von Schadcode aus dem Netz (CVE-2025-49596 / kein EUVD, CVSS 9.4, Risiko „kritisch„).

Weiterreichende Details zur Lücke

In einem Blog-Beitrag beschreiben die Entdecker der Sicherheitslücke von Oligo das etwas genauer. Es geht um Entwickler-Werkzeuge für das Model Context Protocol (MCP) [–] eine Art Middleware, entwickelt von Anthropic, die standardisiert zwischen beliebigen Anwendungen, Datenquellen, Tools oder Diensten und einer KI respektive LLM vermittelt und so Aktionen ausführen kann. MCP-Server sind APIs, die Interaktionen zwischen Systemen in der „echten Welt“ ermöglichen, und laufen auf Cloud-Instanzen oder etwa lokal auf Entwicklermaschinen. In der Regel komme Python oder Javascript zum Einsatz. Die MCP-Server nutzen üblicherweise von Anthropic bereitgestellte Client-Bibliotheken.

Zum Testen und Debuggen von MCP-Servern kommt in der Regel das offizielle Toolset von Anthropic zum Einsatz. Dazu gehört der MCP Inspector, bestehend aus dem MCP-Inspector-Client (MCPI), einem Webinterface, das eine interaktive Schnittstelle zum Test und Debuggen von MCP-Servern bietet und dem MCP Proxy, einem auf node.js basierenden Server, der das Webinterface über diverse Protokolle an MCP-Server anbindet, etwa stdio, SSE oder streamable-HTTP. Etwa stdio dient der lokalen Prozesskommunikation mit Befehlszeilenwerkzeugen – der MCP Client startet ein lokales Skript über das stdin-Interface und erhält die Ausgabe von stdout zurück.

Der MCP Inspector laufe standardmäßig beim Aufruf des MCP-dev-Befehls und stellt einen HTTP-Server bereit, der auf eingehende Verbindungen lauscht. Die Standardkonfiguration kommt ohne ausreichende Sicherheitsmaßnahmen wie Authentifizierung oder Verschlüsselung daher. Dadurch kann jeder im gleichen Netz oder teils auch im Internet mit den MCP-Servern interagieren und sie missbrauchen, erklären die IT-Forscher. Die Dokumentation weise darauf hin, dass der MCP Proxy lediglich in vertrauenswürdigen Netzwerken betrieben werden solle.

Das greift jedoch zu kurz. Die Schwachstelle CVE-2025-49596 ermöglicht etwa auch Cross-Site-Request-Forgeries (CSRF) von öffentlichen Webseiten aus. Sie können bösartige Anfragen auslösen, die in der Ausführung von Schadcode aus dem Netz auf der MCP-Entwickler-Maschine münden. Das gelingt auch dann, wenn der MCP Proxy lediglich auf 127.0.0.1/localhost lauscht. In ihren Untersuchungen haben die Oligo-Analysten auch aus dem Internet erreichbare MCP-Inspector-Instanzen entdeckt.

Entwickler sollten den MCP Inspector zügig auf den Stand 0.14.1 oder neuer aktualisieren. Darin ergänzt Anthropic Session-Handling mit Session-Tokens oder die Verifikation des Verbindungsursprungs.

(dmk)

Angreifer können mit vergleichsweise wenig Aufwand auf Cisco Unified Communications Manager zugreifen und die volle Kontrolle über Systeme erlangen. Die Lücke wurde nun geschlossen. Außerdem gibt es noch Sicherheitsupdates für Application Delivery Platform, Enterprise Chat and Email und Spaces Connector.

Hintertür geschlossen

Den unbefugten Zugriff erlangen Angreifer durch das erfolgreiche Ausnutzen einer „kritischen“ Sicherheitslücke (CVE-2025-20309) in Unified Communications Manager und Unified Communications Manager Session Management Edition. Sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Davon sind konkret die Versionen 15.0.1.13010-1 bis einschließlich 15.0.1.13017-1 in allen Konfigurationen bedroht.

Der Zugriff erfolgt über einen Root-Account mit statischen SSH-Zugangsdaten, die nicht geändert werden können. Darüber können entfernte Angreifer ohne Authentifizierung zugreifen. Im Anschluss können sie Schadcode mit Root-Rechten ausführen. In so einem Fall gelten Instanzen in der Regel als vollständig kompromittiert. Cisco gibt an, dass der Account aus der Entwicklung stammt.

In einer Warnmeldung listen die Entwickler Hinweise (Indicator of Compromise, IOC) auf, an denen Admins bereits attackierte Systeme erkennen können. Cisco versichert, den Account in der Ausgabe 15SU3 (Jul 2025) geschlossen zu haben. Außerdem stellen sie einen Sicherheitspatch zum Download. Dem Netzwerkhersteller zufolge gibt es derzeit keine Hinweise, dass Angreifer die Schwachstelle ausnutzen.

Weitere Gefahren

Enterprise Chat and Email ist für eine XSS-Attacke anfällig (CVE-2025-20310 „mittel„). Die Ausgabe 12.6(1)_ES11 ist abgesichert. Für Ausgabe 11 gibt es keinen Support mehr. Hier ist ein Upgrade auf eine noch unterstütze Version notwendig. Version 15 ist nicht verwundbar. Auf Application Delivery Platform sind ebenfalls XSS-Attacken möglich (CVE-2025-20307 „mittel„). RI.2025.05 verfügt über einen Sicherheitspatch.

Authentifizierte Angreifer können sich über eine Lücke (CVE-2025-20308 „mittel) in Spaces Connector Root-Rechte aneignen. Dagegen ist Connector 3-Jun 2025 gerüstet.

(des)

In Taiwan wurde ein ehemaliger Rettungssanitäter festgenommen, der das Notrufsystem der Feuerwehr von Kaohsiung infiltriert und sensible Einsatzdaten in Echtzeit an Bestattungsunternehmen verkauft haben soll. Der 30-jährige Mann mit dem Nachnamen Pan hatte laut Anklage Zugriff auf Einsatzzeiten, Standorte und GPS-Daten, um vier Bestattungsfirmen einen strategischen Vorteil zu verschaffen. Das berichtete Golem zuerst.

„Pan richtete eine eigene cloudbasierte Plattform ein und nutzte sein Mobiltelefon, um einen Datenserver zu betreiben, der Bestattungsunternehmen Echtzeitinformationen bereitstellte“, heißt es von der Taipei Times. Die Bestatter konnten so schneller als die Konkurrenz am Einsatzort erscheinen – teilweise noch vor den Rettungskräften. Im Gegenzug kassierte Pan monatlich mehrere tausend bis zehntausend Taiwan-Dollar, umgerechnet etwa 100 bis über 1000 Euro.

Der Vorfall kam erst im August 2023 nach Hinweisen auf auffällige Zugriffe auf das Einsatzleitsystem ans Licht, wie die Taipei Times berichtet. Die Datenanalyse ergab, dass Pan seit 2022 ein eigenes Cloud-System aufgebaut hatte, das Informationen in Echtzeit aus 21 Städten und Landkreisen sammelte – dazu gehörten etwa Informationen zum Vorfall und GPS-Koordinaten. Daraufhin versuchten das Innenministerium und die Feuerwehr von Kaohsiung, die Menge der öffentlich verfügbaren Daten zu minimieren und strenge Kontrollen durchzuführen, was jedoch nicht reichte.

30 Millionen Zugriffe pro Jahr

Die Behörden schätzen, dass pro Jahr bis zu 30 Millionen unautorisierte Zugriffe auf das System registriert wurden, was erhebliche Risiken für die Datensicherheit und das öffentliche Interesse bedeutete. Nach monatelangen Analysen durch das Justizministerium wurden Pan und weitere Verdächtige, darunter IT-Fachkräfte der Bestattungsunternehmen, verhaftet. Pan gestand die Tat, mehrere Mitarbeiter der betroffenen Firmen wurden ebenfalls angeklagt. Die Ermittlungen dauern an.

(mack)