Peretas menargetkan informasi sensitif yang disimpan di gateway model bahasa besar (LLM) sumber terbuka LiteLLM dengan mengeksploitasi kerentanan kritis yang dilacak sebagai CVE-2026-42208.
Cacatnya adalah masalah injeksi SQL yang terjadi selama langkah verifikasi kunci API proksi LiteLLM. Penyerang dapat mengeksploitasinya tanpa autentikasi dengan mengirimkan header Otorisasi yang dibuat khusus ke rute API LLM mana pun.
Hal ini memungkinkan membaca data dari database proxy dan memodifikasinya. Menurut pengelolanya penasehat keamananpelaku ancaman dapat menggunakannya untuk “akses tidak sah ke proxy dan kredensial yang dikelolanya.”
Perbaikan telah diberikan di LiteLLM versi 1.83.7 untuk menggantikan penggabungan string dengan kueri berparameter.
LiteLLM menyimpan kunci API, kunci virtual dan master, serta rahasia lingkungan/konfigurasi, sehingga mengakses basis datanya memungkinkan peretas membaca data sensitif yang kemudian dapat mereka gunakan untuk melancarkan serangan tambahan.
LiteLLM adalah lapisan middleware proxy/SDK populer yang memungkinkan pengguna memanggil model AI melalui satu API terpadu. Proyek ini banyak digunakan oleh pengembang aplikasi dan platform LLM yang mengelola berbagai model. Ini memiliki 45k bintang dan 7,6k garpu di GitHub.
Proyek ini juga baru-baru ini menjadi sasaran di a serangan rantai pasokantempat peretas TeamPCP merilis paket PyPI berbahaya yang menyebarkan infostealer untuk mengambil kredensial, token, dan rahasia dari sistem yang terinfeksi.
Dalam laporan dari para peneliti di Sysdig, sebuah perusahaan keamanan cloud, disebutkan bahwa eksploitasi CVE-2026-42208 dimulai sekitar 36 jam setelah bug tersebut diungkapkan kepada publik pada 24 April.
Aktivitas eksploitasi aktif
Para peneliti mengamati upaya eksploitasi yang disengaja dan ditargetkan yang mengirimkan permintaan buatan ke ‘/chat/completions’ dengan header ‘Otorisasi: Pembawa’ yang berbahaya.
Permintaan ini menanyakan tabel tertentu yang berisi kunci API, kredensial penyedia (OpenAI, Anthropic, Bedrock), data lingkungan, dan konfigurasi.
Sysdig menjelaskan bahwa tidak ada penyelidikan terhadap tabel yang tidak berbahaya, dan “operator langsung pergi ke tempat rahasia berada,” sebuah indikator kuat bahwa penyerang tahu persis apa yang harus ditargetkan.
Pada serangan fase kedua, pelaku ancaman mengganti alamat IP, kemungkinan besar untuk menghindari, mengulangi upaya injeksi SQL yang sama, namun fokus pada nama tabel dan struktur yang benar yang diperoleh pada fase sebelumnya, kini menggunakan payload yang lebih sedikit dan lebih tepat.
Sysdig berkomentar bahwa, meskipun 36 jam tidak secepat mengeksploitasi a kelemahan baru-baru ini di Marimoserangannya tepat sasaran dan spesifik.
Para peneliti memperingatkan bahwa instance LiteLMM yang terekspos dan masih menjalankan versi rentan harus dianggap berpotensi disusupi, dan setiap kunci API virtual, kunci master, dan kredensial penyedia yang disimpan dalam instance LiteLLM yang terekspos internet harus dirotasi.
Bagi mereka yang tidak dapat meningkatkan ke LiteLLM 1.83.7 dan yang lebih baru, pengelola menyarankan solusi dengan menyetel ‘disable_error_logs: true’ di bawah ‘general_settings’ untuk memblokir jalur di mana masukan berbahaya dapat mencapai kueri yang rentan.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
