オープンソースのAIゲートウェイLiteLLMの重大度が高い脆弱性が、公開数日後に悪用され、機密情報を含むデータベーステーブルにアクセスされた、とSysdigが報告しています。
このセキュリティ欠陥はプロキシAPI鍵検証プロセス中のSQLインジェクションとして説明され、CVE-2026-42208として識別され、CVSSスコアは9.3です。
4月20日の勧告では、LiteLLMの保守者たちが、鍵検証中に使用されるデータベースクエリが、呼び出し元が提供した値を別のパラメータとして渡さず、代わりにそれをクエリに含めていたことを説明しました。
これにより、認証されていない攻撃者が特別に細工されたAuthorizationヘッダーを任意のLLM APIルートに送信し、プロキシのエラーハンドリングパスを通じてクエリにアクセスできるようになりました。
「呼び出しは認証(auth)が決定される前に行われるため、インジェクションは完全なプレ認証です。プロキシポートに到達できるHTTPクライアントなら十分です」と、Sysdigは指摘しています。
この問題を悪用することで、攻撃者はLiteLLMプロキシのデータベースにアクセスしてデータを読み取り、潜在的に変更することができ、データベースに保存されている認証情報をリークすることができました。
4月24日に、勧告はGitHubアドバイザリデータベースにインデックスされ、その36時間後にこの欠陥を悪用する最初の攻撃が観測されたと、Sysdigは述べています。
サイバーセキュリティ企業は、攻撃者がAPIキー、プロバイダーの認証情報、およびプロキシの環境変数設定などの機密情報を含む3つのデータベーステーブルを特に標的にしていることを観測しました。
「オペレーターはLiteLLMのPrismaで生成されたPostgreSQL識別子の大文字小文字の使い分けをすでに知っており、各ターゲットテーブルに対して教科書的な列数発見スイープを実行しました」と、Sysdigは説明しています。
攻撃の標的化された性質にもかかわらず、継続は観測されず、抽出されたキーと認証情報は悪用されていません。
サイバーセキュリティ企業によると、観測された攻撃は21分間隔で実行され、同じペイロードを使用したが発信元IPアドレスをローテーションした自動ツールを通じて行われた可能性があります。
「この発見の新規性は、スキーマ列挙試行の速さと精度であり、確認されたセキュリティ侵害ではありません」と、Sysdigは指摘しています。
LiteLLMバージョン1.83.7は、呼び出し元が提供した値が常に別のパラメータとして渡されることを確保することで脆弱性を解決します。ユーザーは可能な限り早くパッチされたリリースに更新するか、エラーログを無効にして悪用パスを軽減することをお勧めします。
翻訳元: https://www.securityweek.com/fresh-litellm-vulnerability-exploited-shortly-after-disclosure/
