SchwachstellenCyberkriminalitätCloud-Sicherheit

LiteLLM SQL-Injection kritisch: Angreifer exploitieren Lücke innerhalb von 36 Stunden

Von CyberDeutsch Redaktion
LiteLLM SQL-Injection kritisch: Angreifer exploitieren Lücke innerhalb von 36 Stunden
Zusammenfassung

Eine kritische SQL-Injection-Sicherheitslücke (CVE-2026-42208) im beliebten Open-Source-Projekt LiteLLM wurde bereits 36 Stunden nach ihrer öffentlichen Bekanntmachung aktiv ausgenutzt. Die Schwachstelle mit CVSS-Score 9,3 ermöglicht es unauthentifizierten Angreifern, die Datenbankabfragen des LiteLLM-Proxys zu manipulieren, indem sie manipulierte API-Schlüssel in HTTP-Authentifizierungsheadern senden. Besonders brisant ist, dass die Angreifer gezielt auf Datenbanktabellen abzielten, die hochsensible Zugangsdaten zu Cloud-Services wie OpenAI, Anthropic und AWS speichern – Credentials mit teilweise fünfstelligen monatlichen Ausgabenbudgets. Das Angriffsmuster deutet auf eine gezielte, gut informierte Kampagne hin, da der Threat-Actor Kenntnis über spezifische Tabellennamen und deren Struktur aufwies. Für deutsche Unternehmen und öffentliche Einrichtungen, die LiteLLM zur Verwaltung von KI-Infrastruktur einsetzen, besteht erhebliches Risiko: Ein erfolgreicher Datenbank-Zugriff kann zu einem umfassenden Cloud-Account-Kompromiss führen. Der schnelle Exploitations-Zeitrahmen demonstriert die zunehmende Geschwindigkeit bei der Ausnutzung kritischer Vulnerabilities und unterstreicht die Dringlichkeit zeitnaher Sicherheitspatches.

Die Sicherheitslücke in LiteLLM zeigt ein Kernproblem: Eine Datenbankabfrage während der Überprüfung von Proxy-API-Schlüsseln verarbeitet benutzersupplierte Werte direkt im Abfrage-Text, statt diese als separate Parameter zu übergeben. Dadurch können Angreifer über manipulierte Authorization-Header beliebige SQL-Befehle in jede LLM-API-Route (etwa POST /chat/completions) einschleusen.

BerriAI veröffentlichte einen Patch in Version 1.83.7-stable am 19. April 2026. Doch schon am 26. April – um 16:17 UTC – registrierte das Sicherheitsunternehmen Sysdig die erste Ausnutzung. Der Angreifer kam von der IP-Adresse 65.111.27.132. Insgesamt beobachtete Sysdig zwei exploitative Phasen desselben Operators, der die Datenbanktabellen “litellm_credentials.credential_values” und “litellm_config” gezielt ansteuerte – also genau die Tabellen, in denen kritische API-Schlüssel für großen Sprachmodelle und Proxy-Konfigurationen gespeichert sind. Die Tabellen “litellm_users” und “litellm_team” wurden ignoriert.

Diese Präzision deutet auf Vorwissen hin. Der Angreifer wusste genau, wo die wertvollsten Daten liegen. In der zweiten Phase verwendete der Operator eine andere IP (65.111.25.67) und führte ähnliche Datenbank-Enumerations-Angriffe durch.

Die Auswirkungen sind erheblich: Eine einzige gestohlene litellm_credentials-Zeile kann einen OpenAI-Organisations-Schlüssel mit fünfstelligem Monatslimit, einen Anthropic-Admin-Key und AWS-Bedrock-IAM-Credentials enthalten. Dies gleicht weniger einem typischen Web-App-SQL-Injection-Angriff, sondern einer vollständigen Cloud-Account-Kompromittierung.

LiteLLM ist mit über 45.000 GitHub-Stars ein weit verbreitetes KI-Gateway. Erst im Vormonat war das Projekt Ziel eines Supply-Chain-Angriffs der Gruppe TeamPCP. Die aktuelle Lücke unterstreicht das Risiko für KI-Infrastrukturen.

Das BSI empfiehlt sofortiges Patchen auf Version 1.83.7-stable oder höher. Wer nicht unmittelbar patchen kann, sollte “disable_error_logs: true” in den Einstellungen aktivieren, um die Fehlerbehandlung zu unterbinden, die die SQL-Injection ermöglicht. Unternehmen mit Datenverlust unterliegen DSGVO-Meldepflichten an den BfDI.

Ähnliche Artikel