Phát hiện ba lỗ hổng nghiêm trọng trong giao thức MCP: Alibaba từ chối vá lỗi

Nghiên cứu mới đây từ Akamai đã phát hiện ba lỗ hổng bảo mật lớn trong các máy chủ MCP (Model Context Protocol) của Apache Doris, Apache Pinot và Alibaba RDS. Các lỗ hổng này có thể cho phép kẻ tấn công thực thi các câu lệnh SQL bất ý, đánh cắp siêu dữ liệu nhạy cảm hoặc thậm chí chiếm quyền kiểm soát hoàn toàn cơ sở dữ liệu. Đáng chú ý, trong khi Apache đã đưa ra các bản vá lỗi, thì Alibaba lại từ chối khắc phục lỗ hổng trong sản phẩm của mình.

Tổn thất trong giao thức kết nối AI

MCP là một giao thức nguồn mở do Anthropic phát triển, giúp kết nối các mô hình ngôn ngữ lớn (LLM) và ứng dụng AI với dữ liệu bên ngoài cũng như các hệ thống khác. Tuy nhiên, việc thiếu quy chuẩn bảo mật nghiêm ngặt giữa máy chủ MCP và backend đang tạo ra những lỗ hổng nguy hiểm.

Tomer Peled, chuyên gia phân tích bảo mật tại Akamai, người đã phát hiện ra các lỗi này, cho biết: "Có sự thiếu hụt hoặc xác thực bảo mật bị lỗi giữa máy chủ MCP và backend của nó. Những khoảng trống bảo mật này sẽ trở thành mục tiêu có giá trị cao đối với kẻ tấn công."

Dưới đây là chi tiết về ba lỗ hổng đã được tìm thấy.

Lỗ hổng tiêm SQL trong Apache Doris

Apache Doris là cơ sở dữ liệu phân tích tốc độ cao với hơn 10.000 người dùng là các doanh nghiệp vừa và lớn. Lỗ hổng CVE-2025-66335 ảnh hưởng đến các phiên bản Apache Doris MCP Server trước 0.6.1.

Vấn đề nằm ở hàm "exec_query" của máy chủ. Khi một công cụ MCP được gọi, hàm này không xác thực tham số db_name trước khi xây dựng câu lệnh SQL. Điều này cho phép kẻ tấn công chèn mã SQL độc hại vào tham số này. Do trình xác thực SQL chỉ kiểm tra phần đầu của truy vấn, nó sẽ không phát hiện ra lệnh độc hại mà kẻ tấn công đã chèn thêm.

Peled cảnh báo: "Kết quả là, bất kỳ kẻ tấn công nào truy cập được vào máy khách kết nối với máy chủ Doris MCP đều có thể thực thi các lệnh tùy ý trên phiên bản Apache Doris của nạn nhân."

Apache đã phát hành bản vá vào tháng 12 năm ngoái để khắc phục lỗi này.

Bỏ qua xác thực trong Apache Pinot

Vấn đề thứ hai là một lỗ hổng bỏ qua xác thực trong Apache Pinot MCP, cũng có thể dẫn đến các cuộc tấn công tiêm SQL và chiếm quyền kiểm soát toàn bộ cơ sở dữ liệu.

Apache Pinot là một cơ sở dữ liệu phân tích khác, và tích hợp MCP của StarTree cho Pinot trước phiên bản v2.0.0 cho phép người dùng chạy truy vấn trực tiếp từ tác nhân AI. Dự án mã nguồn mở này sử dụng HTTP làm lớp vận chuyển mà không yêu cầu bất kỳ loại xác thực nào.

Hành vi này exposes endpoint cho những kẻ tấn công từ xa có thể tiếp cận nó, cho phép họ gọi các công cụ MCP, bao gồm cả công cụ thực thi SQL. Trong môi trường mà endpoint MCP có thể tiếp cận từ bên ngoài, điều này cho phép các cuộc tấn công chưa được xác thực thực hiện truy vấn đối với phiên bản Pinot.

StarTree sau đó đã thêm OAuth làm tùy chọn xác thực khi sử dụng HTTP, giúp giảm thiểu mối đe dọa, mặc dù mã nguồn tiêm SQL vẫn tồn tại. Apache cũng đã mở một vấn đề bảo mật trong kho lưu trữ GitHub của MCP Pinot.

Alibaba từ chối vá lỗi trong RDS MCP

Lỗ hổng thứ ba là vấn đề lộ thông tin trong máy chủ Alibaba RDS MCP, cũng bắt nguồn từ việc máy chủ không xác thực người dùng trước khi gọi công cụ MCP RAG (Retrieval-Augmented Generation).

Điều này có nghĩa là "bất kỳ máy khách nào có thể tiếp cận endpoint MCP đều có thể đưa ra yêu cầu đến máy chủ mà không cần bất kỳ xác thực truy vấn nào", theo Peled. Chỉ mục vector có thể chứa tên bảng, định nghĩa lược đồ hoặc các siêu dữ liệu nhạy cảm khác, và kẻ tấn công chưa được xác thực có thể đánh cắp dữ liệu này với ít hoặc không cần nỗ lực nào.

Tất cả các phiên bản của Alibaba RDS MCP đều bị ảnh hưởng bởi lỗ hổng này.

Peled cho biết anh đã báo cáo vấn đề cho Alibaba vào tháng 11, nhưng gã khổng lồ đám mây này đã trả lời rằng vấn đề "không áp dụng" để sửa chữa — do đó lỗi vẫn còn trong codebase. Akamai cũng đã báo cáo sự bất động này cho Trung tâm Phối hợp CERT (CERT/CC).

Cần quy chuẩn bảo mật tốt hơn

Peled cho biết nhóm đi săn mối đe dọa của Akamai ban đầu cho rằng sẽ có một số đặc điểm kỹ thuật bảo mật cơ bản cho tất cả các máy chủ MCP. Tuy nhiên, họ đã sai. Nghiên cứu cho thấy các lỗi như tiêm SQL, thiếu xác thực và xác thực truy vấn không đủ vẫn tồn tại trong mã nguồn.

"Điều này có nghĩa là cần phải chú ý hơn không chỉ đối với đặc điểm kỹ thuật mà còn đối với các hướng dẫn thực hành bảo mật tốt nhất khi phát triển các máy chủ MCP bảo mật," ông kết luận.