Hackeři se zaměřují na citlivé informace uložené v open-source bráně LiteLLM pro velké jazykové modely (LLM) a využívají přitom kritickou zranitelnost označenou jako CVE-2026-42208.
Jedná se o chybu typu SQL injection, která se projevuje v průběhu ověřování klíče proxy API v LiteLLM. Útočník ji může zneužít bez jakékoliv autentizace tak, že odešle speciálně sestavený autorizační hlavičkový požadavek na libovolnou trasu LLM API.
To útočníkovi umožňuje číst data z databáze proxy a upravovat je. Podle bezpečnostního upozornění správců projektu mohou aktéři hrozeb tuto zranitelnost využít k „neoprávněnému přístupu k proxy a přihlašovacím údajům, které spravuje.“
Oprava byla vydána ve verzi LiteLLM 1.83.7, která nahrazuje řetězení řetězců parametrizovanými dotazy.
LiteLLM uchovává API klíče, virtuální i hlavní klíče a tajné údaje z prostředí a konfigurací. Přístup do jeho databáze proto útočníkům umožňuje číst citlivá data, jež mohou následně využít k dalším útokům.
LiteLLM je oblíbená middlewarová vrstva ve formě proxy a SDK, která uživatelům umožňuje volat modely umělé inteligence prostřednictvím jediného unifikovaného rozhraní API. Projekt hojně využívají vývojáři aplikací pracujících s LLM i platformy spravující více modelů najednou. Na GitHubu má 45 tisíc hvězdiček a 7 600 forků.
Projekt byl nedávno rovněž cílem útoku na dodavatelský řetězec, při němž hackerská skupina TeamPCP vydala škodlivé balíčky pro PyPI, které nasazovaly infostealer určený ke sklízení přihlašovacích údajů, tokenů a tajných klíčů z infikovaných systémů.
Výzkumníci ze společnosti Sysdig, zabývající se cloudovou bezpečností, ve své zprávě uvádějí, že ke zneužití CVE-2026-42208 došlo přibližně 36 hodin poté, co byla zranitelnost veřejně zveřejněna 24. dubna.
Průběh aktivního zneužívání
Výzkumníci zaznamenali záměrné a cílené pokusy o zneužití, při nichž byly odesílány upravené požadavky na endpoint /chat/completions se škodlivou hlavičkou Authorization: Bearer.
Tyto požadavky dotazovaly konkrétní tabulky obsahující API klíče, přihlašovací údaje k poskytovatelům (OpenAI, Anthropic, Bedrock), data prostředí a konfigurační soubory.
Sysdig vysvětluje, že nedošlo k žádným průzkumným pokusům vůči neškodným tabulkám a „operátor šel rovnou tam, kde jsou uložená tajná data,“ což je silný indikátor toho, že útočník přesně věděl, na co se zaměřit.
Ve druhé fázi útoku přepnul aktér hrozby IP adresy, pravděpodobně za účelem vyhnutí se odhalení, a znovu provedl stejné pokusy o SQL injection, tentokrát se zaměřením na správné názvy tabulek a struktury získané v předchozí fázi, přičemž využil méně, avšak přesnějších datových vstupů.
Sysdig podotýká, že i když 36 hodin není tak rychlé jako zneužití nedávné zranitelnosti v projektu Marimo, útoky byly cílené a specifické.
Výzkumníci varují, že zveřejněné instance LiteLLM stále provozující zranitelné verze by měly být považovány za potenciálně kompromitované. Všechny virtuální API klíče, hlavní klíče a přihlašovací údaje k poskytovatelům uložené v internetově dostupných instancích LiteLLM by měly být obměněny.
Pro ty, kteří nemohou přejít na LiteLLM verze 1.83.7 nebo novější, správci projektu doporučují obejití zranitelnosti nastavením disable_error_logs: true v sekci general_settings, čímž se zablokuje cesta, jíž mohou škodlivé vstupy dosáhnout zranitelného dotazu.
Zdroj: bleepingcomputer.com
