Hackers estão mirando informações sensíveis armazenadas no gateway open source LiteLLM para modelos de linguagem, explorando uma vulnerabilidade crítica identificada como CVE-2026-42208.
A falha é um problema de injeção de SQL que ocorre na etapa de verificação da chave da API proxy do LiteLLM.
O ataque pode ser executado sem autenticação, bastando enviar um cabeçalho Authorization especialmente manipulado para qualquer rota da API de LLM.
Isso permite ler dados do banco de dados do proxy e também alterá-los.
De acordo com o comunicado de segurança do mantenedor, threat actors podem usar a falha para obter “acesso não autorizado ao proxy e às credenciais que ele gerencia”.
A correção foi disponibilizada na versão 1.83.7 do LiteLLM, com a substituição de concatenação de strings por consultas parametrizadas.
O LiteLLM armazena chaves de API, chaves virtuais e mestre, além de segredos de ambiente e configuração.
Por isso, o acesso ao banco de dados pode expor dados sensíveis que depois podem ser usados em ataques adicionais.
O LiteLLM é uma camada popular de middleware entre proxy e SDK que permite aos usuários chamar modelos de IA por meio de uma única API unificada.
O projeto é amplamente usado por desenvolvedores de aplicativos de LLM e plataformas que gerenciam vários modelos.
Ele tem 45 mil estrelas e 7,6 mil forks no GitHub.
O projeto também foi alvo recentemente de um ataque à supply chain, no qual hackers do TeamPCP liberaram pacotes maliciosos no PyPI que instalaram um infostealer para coletar credenciais, tokens e segredos de sistemas infectados.
Em um relatório, pesquisadores da Sysdig, empresa de segurança em cloud, informaram que a exploração da CVE-2026-42208 começou cerca de 36 horas depois que o bug foi divulgado publicamente, em 24 de abril.
Os pesquisadores observaram tentativas deliberadas e direcionadas de exploração, com requisições feitas a ‘/chat/completions’ usando um cabeçalho malicioso ‘Authorization: Bearer’.
Essas requisições consultaram tabelas específicas que continham chaves de API, credenciais de provedores como OpenAI, Anthropic e Bedrock, além de dados de ambiente e configurações.
A Sysdig explicou que não houve sondagens contra tabelas inocentes e afirmou que “o operador foi direto para onde os segredos estão”, um forte indicativo de que o atacante sabia exatamente o que estava procurando.
Na segunda fase do ataque, o threat actor trocou de endereço IP, provavelmente para dificultar a detecção, repetiu as mesmas tentativas de injeção de SQL, mas passou a focar nos nomes e nas estruturas corretas das tabelas, identificados na fase anterior, usando agora payloads menos numerosos e mais precisos.
A Sysdig afirma que, embora 36 horas não seja tão rápido quanto a exploração de uma falha recente no Marimo, os ataques foram direcionados e específicos.
Os pesquisadores alertaram que instâncias expostas do LiteLLM ainda executando versões vulneráveis devem ser tratadas como potencialmente comprometidas.
Além disso, todas as chaves virtuais de API, chaves mestre e credenciais de provedores armazenadas em instâncias do LiteLLM expostas à internet devem ser rotacionadas.
Para quem não puder atualizar para a versão 1.83.7 do LiteLLM ou superior, os mantenedores recomendam a solução alternativa de definir ‘disable_error_logs: true’ em ‘general_settings’ para bloquear o caminho pelo qual entradas maliciosas podem alcançar a consulta vulnerável.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...