Phân Tích Lỗ Hổng Atlassian MCP và Jira Service Management: Rủi Ro Prompt Injection

Phân Tích Khai Thác Lỗ Hổng Trong Atlassian Model Context Protocol (MCP) và Jira Service Management

Một cuộc tấn công proof-of-concept (PoC) nhắm vào Atlassian Model Context Protocol (MCP), cụ thể là khai thác các môi trường Jira Service Management (JSM) sử dụng các hành động AI được kết nối với MCP. Bài viết này sẽ phân tích chi tiết cơ chế tấn công, tác động và các biện pháp giảm thiểu liên quan đến vector rủi ro mới có tên “Living off AI”.

Tổng Quan Về Cuộc Tấn Công

Cuộc tấn công này cho phép các tác nhân đe dọa bên ngoài gửi các ticket hỗ trợ độc hại chứa payload prompt injection. Khi một người dùng nội bộ kích hoạt hành động AI được kết nối với MCP, các prompt được tiêm nhiễm sẽ thực thi dưới quyền của người dùng nội bộ, dẫn đến việc rò rỉ dữ liệu hoặc sửa đổi trái phép trong hệ thống nội bộ.

Luồng Tấn Công

Quy trình khai thác diễn ra theo các bước sau:

• Một tác nhân đe dọa bên ngoài gửi một ticket hỗ trợ độc hại.
• Một người dùng nội bộ, có quyền truy cập đặc quyền liên quan đến tenant, thực hiện một hành động AI được kết nối với MCP như tóm tắt hoặc xử lý ticket.
• Payload prompt injection được nhúng trong ticket độc hại sẽ thực thi dưới quyền hạn của người dùng nội bộ.
• Hậu quả bao gồm:
  • Rò rỉ dữ liệu nhạy cảm trở lại ticket của kẻ tấn công.
  • Thay đổi dữ liệu trong hệ thống nội bộ mà không bị phát hiện.

Điều này biến người dùng nội bộ thành một proxy cho việc truy cập đặc quyền mà không có các biện pháp sandboxing hoặc kiểm tra đầu vào AI.

Chi Tiết Kỹ Thuật

Lỗ hổng này xuất phát từ sự kết hợp của ba yếu tố rủi ro (được gọi là “lethal trifecta”):

• Quyền truy cập vào dữ liệu riêng tư/nội bộ bởi MCP.
• Tiêu thụ đầu vào không đáng tin cậy (các vấn đề/ticket công khai).
• Khả năng giao tiếp ra bên ngoài (đăng trả lời ra bên ngoài).

Remote MCP Server của Atlassian hỗ trợ các hành động đa bước như tóm tắt công việc và tạo vấn đề/trang, đồng thời tuyên bố giữ dữ liệu an toàn trong ranh giới quyền hạn. Tuy nhiên, thiết kế này tự nhiên dễ bị tấn công prompt injection khi đầu vào không đáng tin cậy được xử lý bởi các công cụ AI mà không có sự cô lập.

Tác Động

Cuộc tấn công có thể gây ra các hậu quả nghiêm trọng như:

• Leo thang đặc quyền thông qua prompt injection trong các ticket hỗ trợ.
• Rò rỉ dữ liệu qua các phản hồi bị thao túng gửi ra bên ngoài.
• Thay đổi trái phép thông tin nhạy cảm trong môi trường Atlassian JSM.

Biện Pháp Giảm Thiểu và Phát Hiện

Để giảm thiểu rủi ro, có thể triển khai các quy tắc bảo mật sử dụng GenAI security controls từ Cato CASB để kiểm tra và kiểm soát việc sử dụng các công cụ AI trên toàn doanh nghiệp. Các biện pháp này có thể bao gồm việc thực thi cô lập ngữ cảnh và kiểm tra đầu vào trên các tương tác MCP, từ đó ngăn chặn các cuộc tấn công prompt injection.

Thông Tin Về IOCs (Indicators of Compromise)

Không có thông tin cụ thể về CVE, file hashes, hoặc URL liên quan đến Atlassian MCP Server hoặc các instance Jira Service Management được cung cấp trong mô tả PoC này. Do đó, không có IOCs nào được liệt kê để theo dõi hoặc phát hiện.

Tóm Tắt Thông Tin Cho SOC/TIP Integration

Bảng dưới đây tóm tắt các khía cạnh chính của cuộc tấn công để hỗ trợ việc tích hợp vào các hệ thống SOC hoặc Threat Intelligence Platform:

Lưu Ý Cuối Cùng

Tại thời điểm báo cáo, chưa có mã định danh CVE nào được gán cho lỗ hổng này. Ngoài ra, Atlassian chưa xác nhận bản vá trực tiếp do các thách thức thiết kế nội tại khi kết hợp truy cập dữ liệu riêng tư, đầu vào không đáng tin cậy và giao tiếp bên ngoài trong cùng một thành phần giao thức.