Οι χάκερ στοχεύουν ευαίσθητες πληροφορίες που είναι αποθηκευμένες στην πύλη ανοιχτού κώδικα μεγάλης γλώσσας (LLM) LiteLLM εκμεταλλευόμενοι μια κρίσιμη ευπάθεια που παρακολουθείται ως CVE-2026-42208.
Το ελάττωμα είναι ένα ζήτημα εισαγωγής SQL που παρουσιάζεται κατά το βήμα επαλήθευσης κλειδιού API διακομιστή μεσολάβησης LiteLLM. Ένας εισβολέας μπορεί να το εκμεταλλευτεί χωρίς έλεγχο ταυτότητας στέλνοντας μια ειδικά κατασκευασμένη κεφαλίδα Εξουσιοδότησης σε οποιαδήποτε διαδρομή LLM API.
Αυτό επιτρέπει την ανάγνωση δεδομένων από τη βάση δεδομένων του διακομιστή μεσολάβησης και την τροποποίησή τους. Σύμφωνα με τον συντηρητή συμβουλευτική για την ασφάλειαοι φορείς απειλών θα μπορούσαν να το χρησιμοποιήσουν για “μη εξουσιοδοτημένη πρόσβαση στο διακομιστή μεσολάβησης και στα διαπιστευτήρια που διαχειρίζεται.”
Παραδόθηκε μια ενημέρωση κώδικα στην έκδοση LiteLLM 1.83.7 για την αντικατάσταση της συνένωσης συμβολοσειρών με παραμετροποιημένα ερωτήματα.
Το LiteLLM αποθηκεύει κλειδιά API, εικονικά και κύρια κλειδιά και μυστικά περιβάλλοντος/διαμόρφωσης, επομένως η πρόσβαση στη βάση δεδομένων του επιτρέπει στους χάκερ να διαβάζουν ευαίσθητα δεδομένα που μπορούν στη συνέχεια να χρησιμοποιήσουν για να εξαπολύσουν πρόσθετες επιθέσεις.
Το LiteLLM είναι ένα δημοφιλές επίπεδο ενδιάμεσου λογισμικού διακομιστή μεσολάβησης/SDK που επιτρέπει στους χρήστες να καλούν μοντέλα AI μέσω ενός ενιαίου ενιαίου API. Το έργο χρησιμοποιείται ευρέως από προγραμματιστές εφαρμογών και πλατφορμών LLM που διαχειρίζονται πολλά μοντέλα. Έχει 45k αστέρια και 7,6k πιρούνια στο GitHub.
Το έργο έχει επίσης πρόσφατα στοχευτεί σε μια επίθεση εφοδιαστικής αλυσίδας, όπου οι χάκερ του TeamPCP κυκλοφόρησαν κακόβουλα πακέτα PyPI που ανέπτυξαν έναν infostealer για να συλλέξουν διαπιστευτήρια, μάρκες και μυστικά από μολυσμένα συστήματα.
Σε μια αναφορά από ερευνητές της Sysdig, μια εταιρεία ασφάλειας cloud, λένε ότι η εκμετάλλευση του CVE-2026-42208 ξεκίνησε περίπου 36 ώρες μετά τη δημόσια αποκάλυψη του σφάλματος στις 24 Απριλίου.
Ενεργή δραστηριότητα εκμετάλλευσης
Οι ερευνητές παρατήρησαν σκόπιμες και στοχευμένες απόπειρες εκμετάλλευσης που έστελναν δημιουργημένα αιτήματα στο ‘/chat/completions’ με μια κακόβουλη κεφαλίδα ‘Authorization: Bearer’.
Αυτά τα αιτήματα ζήτησαν συγκεκριμένους πίνακες που περιείχαν κλειδιά API, διαπιστευτήρια παρόχου (OpenAI, Anthropic, Bedrock), δεδομένα περιβάλλοντος και ρυθμίσεις παραμέτρων.
Ο Sysdig εξήγησε ότι δεν υπήρχαν ανιχνευτές κατά των καλοήθων τραπεζιών και «ο χειριστής πήγε κατευθείαν στο μέρος όπου ζουν τα μυστικά», μια ισχυρή ένδειξη ότι ο εισβολέας ήξερε ακριβώς τι να στοχεύσει.
Στη δεύτερη φάση της επίθεσης, ο παράγοντας απειλής άλλαξε διευθύνσεις IP, πιθανότατα για αποφυγή, επανεξέτασε τις ίδιες προσπάθειες ένεσης SQL, αλλά εστίασε στα σωστά ονόματα και δομές πινάκων που προέκυψαν στην προηγούμενη φάση, χρησιμοποιώντας πλέον λιγότερα, πιο ακριβή ωφέλιμα φορτία.
Ο Sysdig σχολιάζει ότι, ενώ οι 36 ώρες δεν είναι τόσο γρήγορες όσο η εκμετάλλευση ενός πρόσφατου ελαττώματος στο Marimo, οι επιθέσεις ήταν στοχευμένες και συγκεκριμένες.
Οι ερευνητές προειδοποίησαν ότι τα εκτεθειμένα στιγμιότυπα LiteLMM που εξακολουθούν να εκτελούν ευάλωτες εκδόσεις θα πρέπει να αντιμετωπίζονται ως δυνητικά παραβιασμένα και κάθε εικονικό κλειδί API, κύριο κλειδί και διαπιστευτήριο παρόχου που είναι αποθηκευμένα σε παρουσίες LiteLLM που εκτίθενται στο Διαδίκτυο θα πρέπει να εναλλάσσονται.
Για όσους δεν μπορούν να κάνουν αναβάθμιση σε LiteLLM 1.83.7 και νεότερες εκδόσεις, οι συντηρητές προτείνουν τον εναλλακτικό τρόπο ρύθμισης του ‘disable_error_logs: true’ κάτω από το ‘general_settings’ για να αποκλείσετε τη διαδρομή μέσω της οποίας οι κακόβουλες είσοδοι μπορούν να φτάσουν στο ευάλωτο ερώτημα.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
