ハッカーが重大なLiteLLM認証前SQLi脆弱性を悪用

ハッカーは、CVE-2026-42208として追跡されている重大な脆弱性を悪用して、LiteLLMオープンソース大規模言語モデル（LLM）ゲートウェイに保存されている機密情報を標的にしています。

この脆弱性はLiteLLMのプロキシAPIキー検証ステップ中に発生するSQLインジェクション問題です。攻撃者は認証なしで特殊に細工されたAuthorizationヘッダーをあらゆるLLM APIルートに送信することで悪用できます。

これにより、プロキシのデータベースからデータを読み取り、それを変更することができます。メンテナーのセキュリティアドバイザリによれば、脅威アクターは「プロキシと管理するクレデンシャルへの不正アクセス」に利用する可能性があります。

LiteLLMバージョン1.83.7で、文字列連結をパラメータ化クエリに置き換える修正がリリースされました。

LiteLLMはAPIキー、仮想キー、マスターキー、環境/設定シークレットを保存するため、そのデータベースにアクセスするとハッカーは機密データを読み取り、追加の攻撃に利用できます。

LiteLLMは、ユーザーが単一の統一APIを通じてAIモデルを呼び出すことを可能にする人気のあるプロキシ/SDKミドルウェアです。複数のモデルを管理するLLMアプリとプラットフォームの開発者に広く使用されており、GitHubでは45kスター、7.6kフォークを獲得しています。

本プロジェクトは最近、TeamPCPハッカーが悪意のあるPyPiパッケージをリリースしたサプライチェーン攻撃の標的にもなりました。これらのパッケージは感染したシステムからクレデンシャル、トークン、シークレットを盗むインフォスティーラーをデプロイしました。

クラウドセキュリティ企業Sysdigの研究者によると、CVE-2026-42208の悪用は、バグが2026年4月24日に公開されてからおよそ36時間後に開始されたとのことです。

アクティブな悪用活動

研究者は、悪意のある「Authorization: Bearer」ヘッダーを使用して「/chat/completions」に細工されたリクエストを送信する意図的で標的化された悪用試行を観察しました。

これらのリクエストはAPIキー、プロバイダー（OpenAI、Anthropic、Bedrock）のクレデンシャル、環境データ、設定を含む特定のテーブルをクエリしました。

Sysdigは、良性テーブルに対するプローブがなく、「オペレーターはシークレットが存在する場所に直行した」と説明しており、攻撃者が正確に何を標的にするかを知っていたことを強く示唆しています。

攻撃の第2段階では、脅威アクターはIPアドレスを切り替え、おそらく追跡回避のため、同じSQLインジェクション試行を再実行しましたが、前のフェーズで得た正しいテーブル名と構造に焦点を当て、より少ないより正確なペイロードを使用しています。

Sysdigは、36時間は最近のMarioの脆弱性悪用ほど迅速ではないと述べていますが、攻撃は標的化され具体的でした。

研究者は、脆弱なバージョンを実行しているインターネット露出LiteLLMインスタンスは潜在的に侵害されたものとして扱うべき、またインターネット露出LiteLLMインスタンスに保存されているすべての仮想APIキー、マスターキー、プロバイダークレデンシャルをローテーションすべきと警告しました。

LiteLLM 1.83.7以降にアップグレードできない場合、メンテナーは「general_settings」下で「disable_error_logs: true」を設定し、悪意のある入力が脆弱なクエリに到達するパスをブロックする回避策を提案しています。