CVE-2026-12957: furto credenziali cloud da Amazon Q Developer

Il 26 giugno 2026 Wiz Research ha reso pubblica la CVE-2026-12957, una vulnerabilità high-severity (CVSS 8.5 su 10) nell'estensione Amazon Q Developer per VS Code che permetteva il furto di credenziali cloud tramite l'esecuzione automatica di configurazioni MCP server da repository malevoli. La scoperta rivela un pattern sistemico nelle AI coding assistants: il protocollo MCP, progettato per estendere le capacità dell'intelligenza artificiale, si trasforma in un vettore di supply chain attack invisibile quando la convenienza dell'auto-configurazione sostituisce il consenso dell'utente.

Come funzionava l'attacco: il meccanismo MCP senza filtri

Il Model Context Protocol (MCP) permette ad AI assistants di interagire con strumenti esterni spawnando processi locali. Nella versione vulnerabile di Amazon Q Developer, l'estensione caricava automaticamente il file .amazonq/mcp.json presente nella directory di workspace senza richiedere alcuna conferma all'utente.

Wiz Research ha verificato tecnicamente il comportamento: "no prompt, no consent, no workspace trust check". Un attaccante poteva distribuire un repository apparentemente innocuo — un clone di dipendenza open source, un test di coding falsato, una pull request malevola — contenente un file .amazonq/mcp.json opportunamente confezionato.

I processi generati dal MCP ereditavano l'environment completo dello sviluppatore. Wiz elenca esplicitamente tre variabili sensibili propagate: AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN. SecurityWeek conferma che venivano esposti "whatever cloud credentials and API keys were loaded in their environment". Il risultato era un furto di credenziali silenzioso, senza richiesta di autorizzazione né indicazione visiva nell'interfaccia.

I ricercatori di Wiz hanno costruito un proof-of-concept funzionante: un repository malevolo minimale che, aperto in VS Code con Amazon Q Developer attivo, eseguiva il comando aws sts get-caller-identity e catturava la sessione AWS attiva dello sviluppatore.

"The combination of auto-execution, shell spawning, and environment inheritance created a high-severity vulnerability in a widely-used developer tool. A single malicious repository could compromise not just the developer's local machine, but their cloud infrastructure as well"

La disclosure timeline: due mesi di finestra di esposizione

Wiz Research ha notificato Amazon il 20 aprile 2026. Il vendor ha rilasciato la patch in language server version 1.65.0 il 12 maggio 2026. La disclosure pubblica è avvenuta il 26 giugno 2026, circa sei settimane dopo il deploy della correzione.

Un portavoce AWS, citato da SecurityWeek, ha dichiarato: "We would like to thank Wiz for collaborating with us on this issue. We have remediated this issue in language server version 1.65.0". Lo stesso portavoce ha aggiunto che "The AWS Language Server updates automatically unless the customer's network configuration prevents it, so no action is required in most cases".

Tuttavia, CryptoBriefing segnala che Amazon ha successivamente raccomandato l'aggiornamento a versione 1.69.0 per "protezione più completa", introducendo un elemento di valutazione per gli utenti che si fossero fermati alla 1.65.0. Il fix si applica a VS Code, JetBrains, Eclipse, Visual Studio e al language server.

CryptoBriefing ha documentato anche una vulnerabilità correlata, CVE-2026-12958, relativa a symlink validation nelle configurazioni MCP. Entrambe sono state patchate. Secondo CryptoBriefing non sono stati registrati casi di exploit pubblico.

Il pattern sistemico: quando la convenienza diventa vulnerabilità

La scoperta su Amazon Q Developer non è isolata. Wiz Research ha pubblicato una tabella comparativa che documenta vulnerabilità strutturalmente analoghe in altri tool MCP: CVE-2025-59536 e CVE-2026-21852 su Claude Code, CVE-2025-54136 su Cursor, oltre a problematiche su Windsurf. CryptoBriefing conferma la stessa gamma di prodotti affetti.

Il pattern è riconoscibile: il protocollo MCP estende le capacità dell'AI consentendo l'esecuzione di processi locali, ma l'implementazione dell'auto-configurazione saltava i controlli di trust già standardizzati in altri contesti. Il confronto con il browser è immediato — l'auto-download di file senza consenso è stato progressivamente limitato dopo anni di abusi — ma l'industria AI coding assistants sta ripetendo quel percorso di apprendimento in accelerazione, con l'aggravante che l'esecuzione avviene nel contesto privilegiato dell'ambiente di sviluppo.

Le credenziali cloud non sono dati qualsiasi: rappresentano l'accesso diretto all'infrastruttura aziendale. La loro exfiltration silenziosa da un IDE, senza phishing né compromissione di endpoint tradizionali, sposta il perimetro di attacco sul repository git — un vettore che i team di sicurezza hanno iniziato a catalogare sistematicamente solo negli ultimi anni.

Cosa fare adesso

Per gli utenti di Amazon Q Developer, la verifica della versione del language server è il primo passo. La versione 1.65.0 contiene il fix iniziale, ma Amazon raccomanda la 1.69.0. Occorre considerare che l'auto-update può essere bloccato da configurazioni di rete aziendali: la mancanza di azione manuale non è garantita.

Per i team che gestiscono repository condivisi, la revisione della presenza di file .amazonq/mcp.json non autorizzati nei codebase è una verifica concreta, dato che tali file rappresentano il vettore di attacco documentato.

Per i CISO, l'audit delle estensioni IDE attive nei team di sviluppo rientra in una valutazione più ampia: l'ecosistema MCP non si limita ad Amazon Q e le implementazioni di auto-configurazione variano per sicurezza. La rotazione delle credenziali AWS esposte prima del 12 maggio 2026 è una misura di contenimento non esplicitata dalle fonti, ma derivabile dal meccanismo di exposure documentato.

Per l'industria, la raccomandazione formulata da Wiz Research nel report è esplicita: "Any file that can exist in a git repository should be treated as untrusted input. Extensions must validate, sanitize, and — most importantly — obtain consent before acting on workspace configs". La traduzione operativa è il consen prompt che Amazon ha introdotto nel fix.

Il problema è nell'architettura, non nel singolo bug

La CVE-2026-12957 è tecnicamente chiusa, ma il pattern che l'ha generata resta aperto in tutto l'ecosistema MCP. La differenza tra un'estensione che "semplicemente aiuta a scrivere codice" e una che esegue processi locali ereditando credenziali cloud è una linea sottile che molti sviluppatori non percepiscono.

L'industria AI sta replicando un errore di sicurezza già superato nei browser: la convenienza dell'auto-esecuzione ha preceduto di anni la consapevolezza del rischio. La velocità di adozione delle coding assistants non lascia lo stesso margine temporale. Il prossimo repository clonato potrebbe contenere un .cursor/mcp.json o un file analogo per Claude Code, con lo stesso meccanismo e la stessa mancanza di consenso fino a patch successive.

La misura della maturità di un settore tecnologico non è quanto rapidamente aggiunge funzionalità, ma quanto velocemente riconosce che la convenienza senza controllo è una vulnerabilità strutturale, non un bug da catalogare e dimenticare.

Fonti

• https://www.securityweek.com/amazon-q-flaw-enabled-cloud-credential-theft-via-malicious-repositories/
• https://unit42.paloaltonetworks.com/large-scale-credential-attacks/
• https://unit42.paloaltonetworks.com/cloud-bucket-hijacking-risks/
• https://unit42.paloaltonetworks.com/cyber-extortion-economy/
• https://cryptobriefing.com/amazon-q-developer-credential-theft-flaw/
• https://www.wiz.io/blog/amazon-q-vulnerability