Den öffentlichen Hinweis veröffentlichten die LiteLLM-Maintainer am 20. April. Am 24. April wurde der Eintrag in die GitHub-Advisory-Datenbank aufgenommen – die ersten Angriffe beobachtete Sysdig nach eigenen Angaben rund 36 Stunden später.
Die Angreifer hatten es laut Sysdig gezielt auf drei Datenbanktabellen abgesehen, die sensible Informationen enthalten: API-Schlüssel, Zugangsdaten von Anbietern sowie die Konfiguration der Umgebungsvariablen des Proxys. „Der Betreiber kannte bereits die von Prisma erzeugte PostgreSQL-Schreibweise der Bezeichner in LiteLLM und führte gegen jede Zieltabelle einen lehrbuchmäßigen Durchlauf zur Ermittlung der Spaltenanzahl durch“, erläutert Sysdig.
Trotz des gezielten Vorgehens beobachtete das Unternehmen keine Fortsetzung der Angriffe; die erbeuteten Schlüssel und Zugangsdaten wurden bislang nicht missbraucht. Die beobachteten Zugriffe erfolgten im Abstand von 21 Minuten, vermutlich über ein automatisiertes Werkzeug, das denselben Schadcode verwendete, dabei aber die Herkunfts-IP-Adressen wechselte.
„Das Neue an diesem Fund ist die Geschwindigkeit und Präzision des Versuchs, das Schema zu ermitteln – nicht eine bestätigte Kompromittierung“, betont Sysdig.
Behoben wird die Schwachstelle mit LiteLLM-Version 1.83.7, die sicherstellt, dass der vom Aufrufer übergebene Wert stets als eigener Parameter behandelt wird. Den Nutzern wird geraten, möglichst rasch auf die gepatchte Version zu aktualisieren oder die Fehlerprotokolle zu deaktivieren, um den Angriffsweg zu schließen.