LiteLLMゲートウェイで、CVE-2026-42208として特定された重大な認証前SQLインジェクション脆弱性が発見され、攻撃者は認証情報なしにデータベースにアクセスできるようになっています。
サイバー犯罪者は既にこの脆弱性を悪用して、APIキーやプロバイダ認証情報などの高価値なシークレットをターゲットにしているのが観察されています。
脆弱性の概要
CVE-2026-42208は、OpenAIやAnthropicなどの大規模言語モデルにアプリケーションを接続するオープンソースプロキシであるLiteLLMの重大な欠陥です。
この脆弱性は、認証チェック中にAuthorization: Bearerヘッダーをシステムが適切にパラメータ化できないために発生します。
その結果、LiteLLMプロキシポートに到達した認証されていない攻撃者は、基盤となるデータベースに対して任意のSQLクエリを実行できます。
Sysdigによると、セキュリティアドバイザリは2026年4月20日にLiteLLMリポジトリに最初に公開され、その後グローバルデータベースにインデックスされました。
この開示に続いて、悪意のある事業者は汎用スキャンツールに依存する代わりに、カスタムペイロードを素早く開発しました。
この標的型対応の速度は、攻撃者が中央集約型のAIインフラストラクチャを侵害することへの関心の高まりを浮き彫りにしています。
悪用と攻撃戦略
脅威研究者は、脆弱性が公開されてインデックスされてからわずか36時間後に、最初の悪用の試みを検出しました。
自動化されたSQLインジェクション攻撃とは異なり、観察された悪用は非常に標的型であり、LiteLLMの内部データベース構造に関する事前知識を示していました。
攻撃者は、列数列挙を体系的に採用して、IPアドレスをローテーションして検出を回避しながら、効率的にデータを抽出しました。
この脆弱性は、脅威行為者が重大なクラウドグレードの認証情報を抽出するための直接的な経路を提供します。
成功した場合、このタイプのデータベース抽出は、AIゲートウェイが高コストサービスの中央ハブになっているため、深刻な運用上の侵害につながる可能性があります。
| 対象テーブル | 保存されたコンテンツ | 攻撃動機 |
|---|---|---|
LiteLLM_VerificationToken |
仮想APIキーとマスターキー | 任意のIPからキーの認証済み再利用を可能にします |
litellm_credentials |
上流プロバイダの認証情報 | 高コスト、高権限のAIサービスへのアクセスを許可します |
litellm_config |
プロキシ環境構成 | 重大なランタイム設定とデータベース接続を公開します |
影響を受けたバージョンを使用している管理者は、適切なパラメータ化クエリを実装することで問題を解決するLiteLLMバージョン1.83.7に直ちに更新する必要があります。
脆弱なバージョンを実行しているインターネットに面したインスタンスはすべて侵害されていると見なされ、公開されているすべてのシークレットの直ちなローテーションが必要です。
標準的な脆弱性カタログのみに依存すると重大な遅延につながる可能性があるため、ディフェンダーは脅威インテリジェンスフィードを継続的に監視する必要があります。
翻訳元: https://gbhackers.com/critical-litellm-flaw-enables-database-attacks/
