セキュリティ
ApacheとAlibabaのデータベースに脆弱性があり、修正パッチを提供しているのは1つだけ
3つの人気のあるデータベースプロジェクト向けのMCPサーバーのセキュリティ脆弱性により、攻撃者はApache Dorisで意図しないSQLステートメントを実行し、Alibaba RDSから機密メタデータを流出させ、インターネットに露出しているApache Pinot インスタンスを乗っ取る可能性があります。一方、Alibabaは脆弱性の修正を拒否しました。
Apacheは Doris MCPの修正パッチとCVEトラッカーを公開し、MCP Pinot Githubリポジトリに脆弱性についてのオープンチケットがあるとのことです。しかし、Akamaiのセキュリティアナリストであるトマー・ペレド氏によると、Alibabaは RDS MCPの脆弱性を修正しないことに決定したとのことです。ペレド氏は火曜日に脆弱性について執筆し、来月x33fconで完全な研究成果を発表する予定です。
MCP(Model Context Protocol)は、Anthropicが開発したオープンソースプロトコルで、LLM、AIアプリケーション、およびエージェントが外部データ、システム、および相互に接続することを可能にします。
セキュリティ上の問題は決して良いことではありません。また、特に懸念されますAIエージェントと本番データベースの間に位置するサーバーに存在する場合は。これらはMCPの開発方法における大きな問題を特に示唆しています。
「MCPサーバーとそのバックエンド間にセキュリティ検証が不足しているか、または不適切です」とペレド氏は述べており、これらのセキュリティ「ギャップは攻撃者にとって高い価値のターゲットになり、さらに多くのこのような問題が出現することを予想しています」と付け加えています。
ここでは3つすべてを詳しく見てみます。修正されたフローと割り当てられたCVEから始まります。
Apache Dorisは、10,000を超える中堅企業および大企業のユーザーを持つ高速分析・検索データベースです。そのMCPサーバーはAIエージェントがDorisインスタンスと相互作用し、操作を実行することを可能にします。これにはSQLクエリまたはテーブルおよびスキーマメタデータの取得が含まれます。これは発見された脆弱性を予兆していますー CVE-2025-66335、Apache Doris MCPサーバー0.6.1より前のバージョンに影響するSQL インジェクション脆弱性です。
MCPツールが呼び出されると、サーバーの「exec_query」関数は5つのパラメータのうちの1つ(db_nameパラメータ)を検証せずにSQLクエリを構築します。これは、攻撃者が関数を呼び出し、db_nameパラメータを介して悪意のあるSQLをインジェクションでき、最終的なSQLステートメントの始まりに先頭に追加されることを意味します。さらに、SQLバリデーターはクエリの最初の部分のみをチェックするため、攻撃者の指示しか見えません。
「結果として、Doris MCPサーバーに接続されているクライアントにアクセスできる攻撃者は、被害者のApache Dorisインスタンスで任意のコマンドを実行できます」とペレド氏は述べています。
Apacheは12月にこの脆弱性を修正するためのパッチを発行しました。
2番目の問題であるApache Pinot MCPの認証検証バイパスは、SQL インジェクション攻撃とフルデータベース乗っ取りにつながる可能性があります。
Apache Pinotは別の超高速分析データベースであり、StarTreeのPinot用MCP統合(v2.0.0より前)を使用すると、ユーザーはAIエージェントからそのPinot インスタンスに対して直接クエリを実行できます。
オープンソースプロジェクトは、認証を必要とせずに、トランスポート層としてHTTPを使用しています。これにより、エンドポイントに到達できるリモート攻撃者に露出し、SQL実行に使用されるものを含むMCPツールを呼び出すことができます。
「MCPエンドポイントが外部からアクセス可能な環境では、この動作によりPinot インスタンスに対して認証なしでクエリを実行できるリモート攻撃者が許可され、データベースの完全なリモート乗っ取りが可能になります」とペレド氏は述べています。
StarTreeはそれ以来、HTTPを使用する場合の認証オプションとしてOAuthを追加しており、これはSQL インジェクションの脅威を低減すると彼は述べています(ただしコードに脅威は存在します)。また、ApacheはMCP Pinot Githubリポジトリでセキュリティ問題をオープンしています。Pinot MCP v1.1.0以前のバージョンが影響を受けます。
ApacheもStarTreeもThe Registerのコメント要請に応じませんでした。
3番目のセキュリティ欠陥であるAlibaba RDSMCPサーバーの情報開示問題も、サーバーが検索拡張生成(RAG)MCPツール呼び出し前にユーザーを認証していないことから発生します。これにより、AIモデルはデータベースに接続し、クエリを実行できます。
つまり「MCPエンドポイントに到達できるクライアントは、クエリ検証なしにサーバーにリクエストを発行できます」とペレド氏によるとのことです。「ベクトルインデックスにはテーブル名、スキーマ定義、またはその他の機密メタデータが含まれている可能性があり、認証なしの攻撃者はこのデータを容易に流出させることができます。」
Alibaba RDS MCPのすべてのバージョンがこの脆弱性の影響を受けます。
バグハンターは11月にこの問題をAlibabaに報告し、クラウドジャイアントは問題が修正の対象ではないと述べたため、コードベースに残ったままです。Akamaiはこの対応の欠如をCERT調整センター(CERT/CC)に報告しました。
AlibabaはThe Registerの問い合わせに応じませんでした。
ペレド氏は、脅威ハンティングチームがこの調査を開始したときに、すべてのMCPサーバーにはいくつかのベースラインセキュリティ仕様があると想定していたと述べています。事実は彼らが間違っていたことが判明し、研究で発見されたように、SQL インジェクション、不足している認証、および不十分なクエリ検証などの欠陥がコードに存在します。
「これは、仕様だけでなく、セキュアなMCPサーバーを開発する場合のベストセキュリティプラクティスガイドに対しても、より多くの注意が必要であることを意味します」と彼は書きました。®
ITに手を噛む
