Angreifer nutzen kritische SQL-Injection-Lücke in LiteLLM aus

Zusammenfassung

Angreifer nehmen den quelloffenen LLM-Gateway LiteLLM ins Visier und nutzen dafür eine als CVE-2026-42208 geführte kritische Schwachstelle aus. Es handelt sich um eine SQL-Injection, die bei der Überprüfung des Proxy-API-Schlüssels auftritt. Ein Angreifer kann sie ohne Anmeldung ausnutzen, indem er einen speziell präparierten Authorization-Header an eine beliebige LLM-API-Route sendet. Dadurch lassen sich Daten aus der Datenbank des Proxys auslesen und verändern. Laut der Sicherheitsmeldung des Projektbetreuers könnten Angreifer die Lücke für einen "unbefugten Zugriff auf den Proxy und die von ihm verwalteten Zugangsdaten" nutzen. Besonders heikel ist das, weil LiteLLM API-Schlüssel, virtuelle und Master-Schlüssel sowie Umgebungs- und Konfigurationsgeheimnisse speichert – wer Zugriff auf die Datenbank erlangt, kann diese sensiblen Daten lesen und für weitere Angriffe missbrauchen. LiteLLM ist eine verbreitete Proxy- und SDK-Zwischenschicht, über die sich verschiedene KI-Modelle über eine einheitliche Schnittstelle ansprechen lassen, und wird von Entwicklern von LLM-Anwendungen sowie Plattformen mit mehreren Modellen breit eingesetzt. Auf GitHub kommt das Projekt auf 45.000 Sterne und 7.600 Forks. Behoben wurde die Schwachstelle in LiteLLM 1.83.7.

Den Fix lieferten die Entwickler mit LiteLLM 1.83.7 aus, indem sie die fehlerhafte String-Verkettung durch parametrisierte Abfragen ersetzten. Wer nicht auf Version 1.83.7 oder neuer aktualisieren kann, dem empfehlen die Betreuer als Behelfslösung, unter “general_settings” die Option “disable_error_logs: true” zu setzen. Damit wird der Pfad blockiert, über den schädliche Eingaben die verwundbare Abfrage erreichen können.

Nach Angaben von Forschern des Cloud-Sicherheitsunternehmens Sysdig begann die Ausnutzung von CVE-2026-42208 rund 36 Stunden nachdem die Schwachstelle am 24. April öffentlich bekannt gemacht worden war. Beobachtet wurden gezielte Angriffsversuche, die präparierte Anfragen an “/chat/completions” mit einem bösartigen “Authorization: Bearer”-Header schickten.

Diese Anfragen fragten gezielt bestimmte Tabellen ab, die API-Schlüssel, Anbieter-Zugangsdaten (OpenAI, Anthropic, Bedrock), Umgebungsdaten und Konfigurationen enthielten. Sysdig zufolge gab es keine Versuche an harmlosen Tabellen – “der Akteur ging direkt dorthin, wo die Geheimnisse liegen”, ein deutliches Indiz dafür, dass der Angreifer genau wusste, was er ins Visier nahm.

In einer zweiten Phase wechselte der Angreifer die IP-Adresse, vermutlich zur Verschleierung, und wiederholte dieselben SQL-Injection-Versuche. Diesmal konzentrierte er sich auf die korrekten, in der ersten Phase ermittelten Tabellennamen und -strukturen und setzte dabei weniger, aber präzisere Payloads ein. Sysdig merkt an, dass 36 Stunden zwar nicht so schnell seien wie bei der Ausnutzung einer kürzlichen Schwachstelle in Marimo, die Angriffe aber gezielt und spezifisch ausfielen.

Die Forscher warnen, dass exponierte LiteLLM-Instanzen, die weiterhin verwundbare Versionen einsetzen, als möglicherweise kompromittiert behandelt werden sollten. Jeder virtuelle API-Schlüssel, jeder Master-Schlüssel und jede Anbieter-Zugangsdaten, die in über das Internet erreichbaren LiteLLM-Instanzen gespeichert sind, sollten ausgetauscht werden.

LiteLLM war zudem kürzlich Ziel eines Lieferketten-Angriffs: Dabei veröffentlichten Hacker der Gruppe TeamPCP bösartige PyPI-Pakete, die einen Infostealer einschleusten, um Zugangsdaten, Token und Geheimnisse von infizierten Systemen abzugreifen.

Angreifer nutzen kritische SQL-Injection-Lücke in LiteLLM aus

Ähnliche Artikel

Neueste Artikel