Kritische SQL-Injection-Schwachstelle in LiteLLM in der Praxis ausgenutzt

Da es die KI-Weiterleitung und Abrechnung verwaltet, speichert die Anwendung hochkarätige Geheimnisse, einschließlich Master-API-Schlüsseln und Unternehmens-Cloud-Anmeldeinformationen.

Schnelle Ausnutzung und gezielter Datendiebstahl Der Schadensradius eines erfolgreichen Durchbruchs kommt einem massiven Kompromittierung eines Cloud-Kontos nahe und nicht einem typischen Webanwendungsangriff. Die Schwachstelle existiert im Verifizierungsprozess des Proxys.

Insbesondere versagt LiteLLM bei der sicheren Absicherung des Authorization Bearer Headers. Durch das Einfügen eines einfachen Anführungszeichens in einen gefälschten Token wie sk-litellm’ kann ein Angreifer den vorgesehenen Abfragebefehl durchbrechen und bösartige Datenbankbefehle ausführen, noch bevor eine Authentifizierung stattfindet.

Jeder HTTP-Client, der den Proxy-Port erreichen

Jeder HTTP-Client, der den Proxy-Port erreichen kann, kann den Exploit ausführen. Das Sysdig Threat Research Team entdeckte den ersten Ausnutzungsversuch nur und nach der Indizierung der Schwachstelle in der globalen GitHub Advisory Database am 24.

April 2026. Anstatt laute, automatisierte Schwachstellenscanner zu verwenden, demonstrierten die Angreifer ein fortgeschrittenes Wissen über die interne Struktur.

Die Bedrohungsakteure starteten gezielte Angriffe auf drei Tabellen: LiteLLM_VerificationToken, litellm_credentials und litellm_config. Diese Tabellen speichern die kritischsten Daten des Systems, einschließlich virtueller API-Schlüssel, gespeicherter Anbieter-Anmeldeinformationen und Umgebungskonfigurationen.

Die Betreiber passten sogar ihre Payloads

Die Betreiber passten sogar ihre Payloads an, um exakt auf die Groß- und Kleinschreibung des Datenbankschemas zu passen. Diese hochgradig gezielte Aktivität stammte (65.111.27.132 und 65.111.25.67) innerhalb desselben autonomen Systems, was auf eine koordinierte, vorsätzliche Datenextraktionsmaßnahme hindeutet.

Sofortiges Patchen und Wechsel der Zugangsdaten Die Betreiber 1.83.7 veröffentlicht, welche die Schwachstelle behebt, indem sie die Datenbankabfragen ordnungsgemäß sichert. Organisationen, die eine betroffene Version (von 1.81.16 bis 1.83.6) ausführen, müssen dieses kritische Update umgehend anwenden.

Da dieser Angriff keinen Login erfordert und gegen jede exponierte Instanz ausgeführt werden kann, sollten Administratoren davon ausgehen, dass anfällige, internetzugängliche Server bereits kompromittiert wurden. Sicherheitsteams müssen umgehend alle virtuellen API-Schlüssel, Master-Schlüssel und gespeicherten Anbieter-Zugangsdaten rotieren.

Darüber hinaus sollten Unternehmen ihre Upstream-Cloud-Abrechnungskonten

Darüber hinaus sollten Unternehmen ihre Upstream-Cloud-Abrechnungskonten aktiv auf unerwartete API-Aufrufe oder unbefugten Verbrauch überwachen. Verteidiger sollten auch Webserver-Protokolle auf verdächtige Anfragen überprüfen, die SQL-Schlüsselwörter oder die sk-litellm’-Nutzlast enthalten.

Da KI-Gateways zu großen Speichern für teure Cloud-Anmeldeinformationen werden, müssen sie als Top-Sicherheitsziele behandelt werden.

Die Absicherung dieser Proxy-Umgebungen hinter internen Netzwerken und die Aufrechterhaltung eines strikten Patch-Managements sind wesentliche Schritte, um verheerenden Diebstahl uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Critical LiteLLM SQL Injection Vulnerability Exploited in the Wild erschien zuerst bei Cyber Security News.