Peretas Eksploitasi Celah SQLi Pra-Autentikasi Kritis di LiteLLM

Para peretas dilaporkan tengah mengincar informasi sensitif yang tersimpan di dalam gateway model bahasa besar (LLM) sumber terbuka LiteLLM. Mereka secara aktif mengeksploitasi sebuah kerentanan tingkat kritis yang dilacak sebagai CVE-2026-42208.

Celah keamanan ini merupakan masalah Injeksi SQL (SQLi) yang terjadi selama langkah verifikasi kunci API proksi pada LiteLLM. Sangat berbahayanya, penyerang dapat mengeksploitasi celah ini tanpa memerlukan autentikasi sama sekali (pra-autentikasi) hanya dengan mengirimkan header Authorization yang dirancang khusus ke rute API LLM mana pun.

Eksploitasi ini memungkinkan penyerang untuk membaca data dari basis data proksi dan bahkan memodifikasinya. Menurut imbauan keamanan resmi dari pengelola proyek, aktor ancaman dapat menggunakannya untuk “akses tak sah ke proksi dan kredensial yang dikelolanya.”

Eksploitasi Cepat dan Tertarget

Dalam sebuah laporan dari para peneliti di perusahaan keamanan cloud Sysdig, eksploitasi CVE-2026-42208 di alam liar dimulai hanya sekitar 36 jam setelah bug tersebut diungkapkan ke publik pada tanggal 24 April.

Para peneliti mengamati upaya eksploitasi yang disengaja dan sangat tertarget. Penyerang mengirimkan permintaan yang dimanipulasi ke endpoint /chat/completions dengan header Authorization: Bearer yang berbahaya. Permintaan ini secara spesifik menanyakan tabel-tabel tertentu yang berisi kunci API, kredensial penyedia LLM (seperti OpenAI, Anthropic, Bedrock), data lingkungan, dan konfigurasi.

Sysdig menjelaskan bahwa tidak ada pemeriksaan acak terhadap tabel yang aman; “operator langsung menuju ke tempat rahasia itu berada,” yang menjadi indikator kuat bahwa penyerang tahu persis apa yang harus ditargetkan.

Pada fase kedua serangan, aktor ancaman mengganti alamat IP mereka—kemungkinan besar untuk menghindari deteksi—lalu menjalankan kembali upaya Injeksi SQL yang sama, tetapi kali ini lebih fokus pada nama dan struktur tabel yang benar yang diperoleh pada fase sebelumnya, dengan menggunakan muatan (payload) yang lebih sedikit dan lebih presisi.

Tentang LiteLLM dan Langkah Mitigasi

LiteLLM adalah lapisan middleware proxy/SDK yang sangat populer, yang memungkinkan pengguna untuk memanggil berbagai model AI melalui satu API terpadu. Proyek ini diandalkan oleh banyak pengembang aplikasi LLM dan platform yang mengelola berbagai model, terbukti dengan perolehan lebih dari 45 ribu bintang (stars) dan 7,6 ribu forks di GitHub.

Sebagai catatan, proyek ini baru-baru ini juga menjadi target serangan rantai pasokan (supply-chain attack), di mana kelompok peretas TeamPCP merilis paket PyPI berbahaya yang menyebarkan infostealer untuk memanen kredensial dan token dari sistem.

Tindakan yang Harus Dilakukan Pengguna:

• Pembaruan Segera: Perbaikan keamanan telah dirilis pada LiteLLM versi 1.83.7 dengan mengganti penggabungan string menggunakan kueri berparameter. Pengguna diwajibkan untuk segera memperbarui sistem mereka.
• Rotasi Kredensial: Mengingat LiteLLM menyimpan kunci API, kunci virtual dan master, serta rahasia konfigurasi, Sysdig memperingatkan bahwa instans LiteLLM yang terekspos ke internet dan masih menjalankan versi rentan harus dianggap telah terkompromi. Setiap kredensial dan kunci yang ada di dalamnya wajib dirotasi atau diganti.
• Solusi Sementara (Workaround): Bagi mereka yang belum dapat melakukan pemutakhiran ke versi 1.83.7 atau yang lebih baru, pengelola proyek menyarankan solusi sementara dengan mengatur disable_error_logs: true di bawah konfigurasi general_settings untuk memblokir jalur yang memungkinkan input berbahaya mencapai kueri yang rentan.