Aller au contenu
Hermes Codex

CVE-2026-30624 : Injection de commandes via les serveurs MCP externes d'Agent Zero

Sommaire exécutif (Executive Summary)

Section intitulée « Sommaire exécutif (Executive Summary) »

Agent Zero 0.9.8 contient une vulnérabilité critique d’exécution de code à distance (RCE) dans sa fonctionnalité de configuration des serveurs MCP (Model Context Protocol) externes. En fournissant une configuration JSON artisanale, un attaquant non authentifié peut exécuter des commandes arbitraires sur l’hôte sous-jacent avec les privilèges du processus Agent Zero. Cette vulnérabilité est hautement critique en raison de son impact direct sur l’intégrité de l’hôte et de son potentiel pour le déplacement latéral dans un environnement compromis.

Analyse technique

Section intitulée « Analyse technique »

La vulnérabilité réside dans la gestion par l’application des configurations de serveurs MCP externes. Elle accepte une charge utile JSON où un utilisateur peut spécifier la commande et les arguments pour un serveur MCP basé sur stdio. L’application passe ensuite ces entrées directement dans StdioServerParameters sans assainissement ni liste blanche, menant à une exécution directe de sous-processus de commandes fournies par l’utilisateur.

Flux d’exploitation

Section intitulée « Flux d’exploitation »
  1. Un attaquant identifie une instance d’Agent Zero qui accepte des configurations MCP externes.
  2. L’attaquant crée une charge utile JSON malveillante spécifiant un shell inversé (reverse shell) ou une commande à exécuter.
  3. La configuration malveillante est soumise à l’application.
  4. Agent Zero traite la configuration et génère le sous-processus malveillant, déclenchant l’injection de commande.

Investigation forensique

Section intitulée « Investigation forensique »

Lors de l’enquête sur cette vulnérabilité, concentrez-vous sur les artefacts suivants :

Audit de processus

Analysez les journaux de création de processus pour détecter des sous-processus inattendus générés par le processus agent-zero, en particulier les interpréteurs de shell (sh, bash, cmd.exe, powershell).

Analyse de configuration

Passez en revue les fichiers de configuration stockés d’Agent Zero pour détecter des définitions de serveurs MCP externes suspectes ou non autorisées.

Détection

Section intitulée « Détection »

Pour détecter les tentatives d’exploitation potentielles, implémentez la surveillance suivante :

Règle Sigma

Section intitulée « Règle Sigma »
title: Potential Command Injection via Agent Zero MCP Configuration
status: experimental
description: Détecte l'exécution suspecte de sous-processus initiée par l'application Agent Zero due à une configuration MCP non sécurisée.
logsource:
  category: process_creation
detection:
  selection:
    ParentImage|endswith: '/agent-zero'
    Image|endswith:
      - '/sh'
      - '/bash'
      - '/cmd.exe'
      - '/powershell.exe'
  condition: selection

Atténuation

Section intitulée « Atténuation »

Mettez à jour Agent Zero vers la dernière version immédiatement. Si une mise à jour n’est pas immédiatement disponible, restreignez la possibilité de configurer des serveurs MCP externes aux utilisateurs de confiance et validez toutes les configurations d’entrée par rapport à une liste blanche stricte.

Sources

Section intitulée « Sources »