Amazon Q Geliştirici Kusuru, Kötü Amaçlı Depoların MCP Yapılandırmaları Aracılığıyla Kod Çalıştırmasına İzin Verebilir Windows

Amazon Q Geliştirici Kusuru, Kötü Amaçlı Depoların MCP Yapılandırmaları Aracılığıyla Kod Çalıştırmasına İzin Verebilir

Amazon Q Developer'daki yüksek önemdeki bir kusur, kötü amaçlı bir veri havuzunun komutları çalıştırmasına ve geliştiricinin bulut kimlik bilgilerini ...

Amazon Q Developer'daki yüksek önemdeki bir kusur, kötü amaçlı bir veri havuzunun komutları çalıştırmasına ve geliştiricinin bulut kimlik bilgilerini çalmasına olanak tanıyor. Yol kısaydı: Bir geliştirici depoyu açar, çalışma alanına güvenir ve gerisini Amazon Q halleder. Amazon yama yaptı.

CVE-2026-12957 (CVSS 8.5) olarak takip edilen hata, Amazon'un AI kodlama asistanının Model Bağlam Protokolü (MCP) sunucularını nasıl yönettiğiyle ilgiliydi.

Bunu bulup bildiren Wiz Research, bir depoya bırakılan tek bir yapılandırma dosyasının git klonundan bulut güvenliğine geçmek için yeterli olduğunu gösterdi.

Saldırı nasıl çalıştı?

Amazon Q, açık çalışma alanından .amazonq/mcp.json MCP yapılandırma dosyasını okudu ve tanımladığı sunucuları başlattı. MCP sunucuları, bir yapay zeka asistanının veritabanlarına, API'lere veya derleme araçlarına ulaşmak için oluşturabileceği yerel süreçlerdir; dolayısıyla bunlardan birini başlatmak, makinede komutları çalıştırmak anlamına gelir.

Bu süreçler geliştiricinin tüm ortamını devraldı. Bu genellikle AWS anahtarları, bulut CLI belirteçleri, API sırları ve SSH aracı yuvaları anlamına gelir.

İkisini bir araya getirdiğinizde, klonlanmış bir depoda bulunan bir dosya, geliştiricinin canlı bulut oturumu eklenmiş olarak isteğe bağlı kod çalıştırabilir. Şifre yok, ikinci oturum açma yok.

Konsept kanıtı olarak Wiz, dosyayı sts get-caller-identity ile çalıştırdı ve çıktıyı saldırgan bir sunucuya göndererek aktif AWS oturumunu yakaladı. Bundan sonra ne olacağı geliştiricinin bulut izinlerine bağlıdır: Kalıcılık için bir IAM kullanıcısına arka kapı açmak, dahili hizmetlere ulaşmak veya üretime yönelmek.

AWS ve Wiz, izin adımını farklı şekilde çerçeveler. Amazon'un tavsiyesi, kullanıcının istendiğinde çalışma alanına güvenmesi gerektiğini söylüyor ve CVSS, kullanıcı etkileşimini pasif olarak derecelendiriyor.

Wiz, düzeltmeden önce MCP sunucuları için ayrı bir onay adımının olmadığını bildirdi. Yama bu açığı kapatıyor: Amazon Q artık güvenilmeyen bir MCP sunucusunu işaretliyor ve geliştiricinin komutu çalıştırmadan önce reddetmesine olanak tanıyor.

Kusur, Amazon Q'yu VS Code, JetBrains, Eclipse ve Visual Studio'da çalıştıran çalışma zamanı olan AWS için Dil Sunucularında bulunuyor. Dört eklentinin tümü onu bir araya getiriyor, dolayısıyla dördü de eski bir kopyayı gönderen sürümler tarafından açığa çıkarıldı.

Ne yapmalı

Güncelle. CVE-2026-12957, AWS 1.65.0 için Dil Sunucularında düzeltildi, ancak AWS bülteni müşterilere 1.69.0'a geçmelerini söylüyor.

Bu yapı aynı zamanda çalışma alanı güven sınırı dışında rastgele dosya yazma işlemlerine izin verebilecek eksik bir sembolik bağlantı kontrolü olan CVE-2026-12958 adlı ikinci bir sorunu da kapatıyor.

Yamalı eklenti minimumları:

VS Kodu: 2.20 veya üstü

JetBrains: 4.3 veya üzeri

Eclipse: 2.7.4 veya üzeri

Visual Studio araç seti: 1.94.0.0 veya üzeri

Dil sunucusu, ağ onu engellemediği sürece otomatik olarak güncellenir ve IDE'nin yeniden yüklenmesi en son yapıyı çeker.

Bilinen bir kamu sömürüsü yoktur; CISA'nın CVE-2026-12957 için ADP girişi bunu yok olarak listeliyor. Wiz, kusuru araştırma yoluyla buldu ve bunu Amazon ile koordineli olarak açıkladı, 20 Nisan'da bildirdi ve 26 Haziran'daki kamuya açık yazı öncesinde 12 Mayıs'ta bir düzeltme gördü.

Tek seferlik değil bir model

Amazon Q, MCP güvenini aşan ilk kodlama asistanı değil. Hatalar birbirinin aynısı olmasa da birbiriyle uyumlu: proje yapılandırması yürütülebilir davranışa dönüşüyor ve bu aktarımla ilgili güven kontrolleri başarısız olmaya devam ediyor.

Claude Code (CVE-2025-59536) ve Cursor'un (CVE-2025-54136) her ikisi de komutun yürütülmesine yol açan proje düzeyinde MCP yapılandırmasına sahipti. Rüzgar Sörfü (CVE-2026-30615), saldırganın kontrol ettiği içeriğin kötü amaçlı bir sunucuyu kaydetmek için yerel MCP yapılandırmasını yeniden yazmasıyla aynı sonuca farklı bir yoldan ulaştı.

Bir proje klasörünün bir AI aracısını yapılandırmasına izin vermenin rahatlığı aynı zamanda saldırı yüzeyidir. Repo tarafından taşınan yapılandırma güvenilmeyen bir giriştir. Bunu çalışan bir sürece dönüştürmek açık bir evet gerektirmelidir.

Paylaş: