SchwachstellenKI-SicherheitCyberkriminalität

Kritische SQL-Injection in LiteLLM: Attacke kurz nach Veröffentlichung

Von CyberDeutsch Redaktion
Kritische SQL-Injection in LiteLLM: Attacke kurz nach Veröffentlichung
Zusammenfassung

Eine kritische Sicherheitslücke im Open-Source-AI-Gateway LiteLLM wurde bereits wenige Tage nach ihrer öffentlichen Bekanntmachung aktiv ausgenutzt. Die als CVE-2024-42208 klassifizierte SQL-Injection-Schwachstelle mit einem CVSS-Wert von 9.3 ermöglicht es Angreifern, auf die Datenbankabfragen des LiteLLM-Proxys zuzugreifen und potenziell sensible Daten zu manipulieren. Das besonders kritische Problem liegt darin, dass die Schwachstelle vor der Authentifizierung ausgenutzt werden kann – jeder HTTP-Client mit Zugriff auf den Proxy-Port ist anfällig. Sysdig-Sicherheitsexperten dokumentierten die ersten Angriffe bereits 36 Stunden nach der Veröffentlichung im GitHub Advisory Database, wobei die Angreifer gezielt auf drei Tabellen mit API-Schlüsseln, Provider-Credentials und Umgebungsvariablen abzielten. Für deutsche Unternehmen und Behörden, die LiteLLM-Instanzen betreiben oder als Basis für ihre AI-Infrastruktur nutzen, stellt dies ein unmittelbares Risiko dar. Ein Update auf Version 1.83.7 ist dringend erforderlich, um die Sicherheit von gespeicherten Zugangsdaten und Konfigurationsinformationen zu gewährleisten.

Die Anfälligkeit in LiteLLM offenbart ein grundlegendes Sicherheitsdesign-Problem: Bei der API-Schlüssel-Verifikation wird eine Datenbankabfrage nicht ordnungsgemäß parametrisiert. Statt den vom Client übergebenen Wert als separaten Parameter zu übergeben, wird dieser direkt in die SQL-Query eingebunden. Dadurch können Angreifer über einen manipulierten Authorization-Header beliebige SQL-Befehle einschleusen.

Besonders kritisch ist der Timing: Der Fehler tritt auf, bevor die Authentifizierung überhaupt stattfindet. Das bedeutet, dass jeder, der Zugriff auf den Proxy-Port hat — ob intern oder extern — diesen Fehler ausnutzen kann. Ein passwort- oder schlüsselbasierter Schutz existiert in diesem Moment nicht.

Die Sicherheitsfirma Sysdig dokumentierte, dass Angreifer bereits 36 Stunden nach der öffentlichen Meldung am 24. April tätig wurden. Sie zielten präzise auf drei Datenbanktabellen ab und kannten dabei das PostgreSQL-Identifier-Format von Prisma (dem ORM, das LiteLLM nutzt). Der Angreifer führte systematisch eine Spalten-Enumeration durch — ein klassisches Vorgehen bei SQL-Injections. Die Abfragen erfolgten im 21-Minuten-Rhythmus mit rotierenden IP-Adressen, ein Hinweis auf automatisierte Werkzeuge.

Bislang gibt es keine Hinweise darauf, dass die extrahierten Credentials tatsächlich missbraucht wurden. Jedoch zeigt dieser Incident, wie schnell automatisierte Scanning-Tools Zero-Day- und neu bekannte Schwachstellen ausnutzen — eine wachsende Bedrohung für Organisationen.

LiteLLM-Maintainer veröffentlichten Version 1.83.7 als Patch. Die Lösung ist konzeptionell simpel: Die Caller-Werte werden nun korrekt als separate Parameter übergeben. Nutzer sollten sofort aktualisieren. Wer nicht unmittelbar patchen kann, sollte zumindest Fehlerausgaben deaktivieren, um die Exploitation zu erschweren.

Für deutsche Unternehmen gilt: Wer LiteLLM oder ähnliche KI-Gateways einsetzt, sollte sofort prüfen, ob die Version aktualisiert wurde und ob möglicherweise bereits Logs auf Exploitversuche hindeuten. Im Falle einer Kompromittierung besteht eine Meldepflicht nach DSGVO innerhalb von 72 Stunden an die Datenschutzbehörden.

Ähnliche Artikel