Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Escaneos globales buscan servidores MCP, credenciales de Claude y modelos de IA expuestos


Los sistemas de inteligencia artificial expuestos a Internet se están convirtiendo en el nuevo objetivo de atacantes oportunistas. Se ha detectado una actividad de escaneo donde actores malintencionados buscan activamente servidores del Protocolo de Contexto de Modelo (MCP), archivos de configuración de asistentes de IA y servicios de modelos de lenguaje locales expuestos, incluso en sitios web de bajo tráfico que aparentemente no cuentan con infraestructura de IA.




Los sistemas de IA orientados a Internet se están convirtiendo en un nuevo objetivo para los atacantes oportunistas.

La actividad de escaneo reciente muestra que los actores de amenazas están buscando activamente servidores del Protocolo de Contexto de Modelo, o MCP, archivos de configuración de asistentes de IA y servicios de modelos de lenguaje locales expuestos.

Esta actividad se observó en sitios web de bajo tráfico que no parecían albergar infraestructura de IA.

Ese detalle es importante porque sugiere un reconocimiento amplio en lugar de una intrusión dirigida contra una organización o desarrollador específico.

Analistas del Internet Storm Center identificaron la actividad mientras revisaban dos semanas de registros de Apache y ModSecurity de un pequeño proveedor de hosting web.

Los investigadores encontraron aproximadamente 200 solicitudes vinculadas al reconocimiento de agentes de IA, con sondeos de saludo (handshake) de MCP originados desde 49 direcciones IP de origen distintas.

Internet Storm Center dijo en un informe que los escaneos reflejan un problema de seguridad creciente en torno a los despliegues de IA.

Es posible que , como desarrollador, expongas un servicio MCP, dejes ajustes del asistente en un directorio web público o hagas que un modelo local sea accesible desde Internet sin darte cuenta de que los atacantes ya están buscando cada uno de estos errores.

Escaneos globales en Internet apuntan a servidores MCP y credenciales de Claude

La parte más notable de la actividad fue el uso de solicitudes de inicialización de MCP válidas en lugar de simples comprobaciones de rutas.

En lugar de preguntar si existe una dirección web y seguir adelante, los escaneadores enviaron mensajes JSON-RPC correctamente formados, diseñados para iniciar una conversación de MCP.

Ese enfoque permite que un atacante determine si un servicio accesible se comporta como un servidor MCP.

Si un servidor responde, la siguiente etapa podría implicar la identificación de herramientas disponibles, fuentes de datos conectadas y acciones que el agente de IA tiene permiso para realizar.

Los servidores MCP pueden dar a los agentes de IA acceso a bases de datos, API internas, sistemas de archivos, herramientas de tickets y otros recursos empresariales.

Cuando uno queda expuesto sin autenticación, puede proporcionar efectivamente a personas externas un mapa legible por máquina de los servicios y datos a los que el agente puede acceder. La propagación de los sondeos también apunta a una campaña más amplia.

Categorías de reconocimiento (Fuente – Internet Storm Center)

Las solicitudes provenían de muchas direcciones IP diferentes, lo que hace que la actividad parezca menos una prueba académica y más un escaneo distribuido a nivel mundial destinado a encontrar despliegues vulnerables a escala.

Las organizaciones deberían revisar los registros de acceso en busca de tráfico MCP sospechoso. Los sistemas que no utilicen MCP deberían tratar tales solicitudes como señales de reconocimiento útiles y bloquearlas cuando sea apropiado.

Las organizaciones que operen servidores MCP deben confirmar que requieren una autenticación fuerte y que no pueden ser alcanzados directamente desde la Internet pública, a menos que dicha exposición sea estrictamente necesaria.

Limitar el acceso a la red también reduce la probabilidad de que un escaneador descubra el servicio en primer lugar.

Credenciales y modelos en riesgo

La misma actividad de escaneo buscó archivos vinculados a asistentes de codificación de IA, incluidos archivos de configuración y credenciales que , como desarrollador, podrías colocar accidentalmente dentro de un directorio web desplegado. Estos archivos pueden contener detalles de conexión, ajustes del servicio y secretos potencialmente valiosos.

Protocolo de Contexto de Modelo (Fuente – Internet Storm Center)

El uso de comprobaciones ligeras de existencia contra archivos relacionados con credenciales sugiere que los operadores están optimizando sus escaneos para un gran número de objetivos. En lugar de descargar cada archivo posible, primero comprueban si hay un recurso potencialmente útil presente.

Los investigadores también observaron intentos repetidos de localizar interfaces de servicio de modelos sin autenticación. Un punto final de modelo accesible públicamente puede dar a un atacante acceso gratuito a recursos de computación, revelar los modelos instalados o convertirse en un punto de apoyo para actividades posteriores dentro del entorno.

Los escaneos fueron acompañados por intentos de abusar de la falsificación de solicitudes del lado del servidor, o SSRF, contra servicios de metadatos en la nube. Esta técnica puede ser especialmente relevante para las herramientas de IA porque los agentes y los servicios auxiliares a menudo incluyen funciones que recuperan contenido de direcciones web proporcionadas por el usuario.

Quienes defiendan la red deben comprobar los sistemas orientados al público desde fuera de sus redes, asegurarse de que los archivos de configuración relacionados con la IA no sean servidos por servidores web y revisar las funciones de obtención de URL para implementar protecciones contra destinos internos y de metadatos en la nube.

Los entornos de nube también deben aplicar las protecciones disponibles del servicio de metadatos, incluyendo la aplicación de encabezados de GCP y AWS IMDSv2.

Indicadores de compromiso (IoCs):-

TipoIndicadorDescripción
Endpoint MCPPOST /mcpSondeo de inicialización JSON-RPC de MCP
Transporte MCPGET /sseSondeo de transporte de Eventos Enviados por el Servidor (SSE)
Archivo config asistente IA.claudemcp.jsonArchivo de configuración del cliente MCP de Claude
Archivo config asistente IA.cursormcp.jsonArchivo de configuración del cliente MCP de Cursor
Archivo config asistente IA.cursormcpconfig.jsonArchivo de configuración de MCP de Cursor
Archivo config asistente IA.vscodemcp.jsonArchivo de configuración de MCP de Visual Studio Code
Archivo config MCP.mcpconfig.jsonArchivo de configuración de MCP del proyecto o editor
Archivo ajustes asistente IA.claudesettings.local.jsonArchivo de ajustes locales de Claude
Archivo credenciales IA.claude.credentials.jsonArchivo de credenciales de Claude
Archivo credenciales IA.configclaude.credentials.jsonSondeo de archivo relacionado con credenciales de Claude
Endpoint LLMGET /v1/modelsEndpoint de listado de modelos compatible con OpenAI
Endpoint LLMGET /api/tagsEndpoint de listado de modelos de Ollama
Sondeo SSRFfetch?url=http://metadata.google.internal/...tokenIntento de robo de token de metadatos de nube
Sondeo SSRFfetch?uri=http://metadata.google.internal/...tokenIntento de robo de token de metadatos de nube
Sondeo SSRFfetch?path=http://metadata.google.internal/...tokenIntento de robo de token de metadatos de nube
Sondeo SSRFfetch?dest=http://metadata.google.internal/...tokenIntento de robo de token de metadatos de nube
Host metadatos nubemetadata.google.internalObjetivo del servicio de metadatos de Google Cloud
IP metadatos nube169.254.169.254Dirección del servicio de metadatos de nube de enlace local
Ruta token Kubernetesvar/run/secrets/.../serviceaccount/tokenObjetivo del token de cuenta de servicio de Kubernetes

Nota: Las direcciones IP y los dominios han sido neutralizados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Solo debes reactivarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/internet-wide-scans-target-mcp-servers-claude-credentials/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.