Các tin tặc đang nhắm mục tiêu vào thông tin nhạy cảm được lưu trữ trên gateway mã nguồn mở LiteLLM, bằng cách khai thác một lỗ hổng nghiêm trọng được theo dõi với mã định danh CVE-2026-42208.tin
LiteLLM là một lớp trung gian proxy/SDK phổ biến cho phép người dùng gọi các mô hình AI thông qua một API thống nhất. Dự án ghi nhận khoảng 45.000 lượt đánh dấu sao và 7.600 lượt fork trên GitHub, cho thấy mức độ sử dụng rộng rãi trong cộng đồng phát triển.
Theo báo cáo kỹ thuật, lỗ hổng này là một hình thức tấn công SQL injection xảy ra trong bước xác minh khóa API proxy của LiteLLM. Các tin tặc có thể khai thác nó mà không cần xác thực thông qua tạo một tiêu đề Authorization độc hại và gửi đến bất kỳ thành phần API nào của LLM.
Điều này cho phép tin tặc có thể đọc thông tin từ cơ sở dữ liệu của proxy và sửa đổi nó. Theo khuyến cáo bảo mật của đơn vị bảo trì, các tác nhân đe dọa có thể sử dụng nó để “truy cập trái phép vào máy chủ proxy và thông tin đăng nhập mà nó quản lý”.
Bản vá lỗi đã được phát hành trong LiteLLM phiên bản 1.83.7 để thay thế việc nối chuỗi bằng các truy vấn tham số hóa. Đáng chú ý, LiteLLM lưu trữ các khóa API, khóa ảo và khóa chính, cũng như các bí mật về môi trường/cấu hình, vì vậy việc truy cập vào cơ sở dữ liệu của nó cho phép tin tặc đọc được dữ liệu nhạy cảm mà chúng có thể sử dụng để thực hiện các cuộc tấn công khác.
Gần đây, dự án này cũng trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng, trong đó tin tặc TeamPCP đã phát tán các gói PyPI độc hại, triển khai một phần mềm đánh cắp thông tin nhằm thu thập thông tin đăng nhập, token và bí mật từ các hệ thống bị lây nhiễm.
Theo báo cáo của các nhà nghiên cứu tại công ty bảo mật đám mây Sysdig, việc khai thác lỗ hổng CVE-2026-42208 bắt đầu khoảng 36 giờ sau khi lỗi này được công bố rộng rãi vào ngày 24/4.
Các nhà nghiên cứu quan sát thấy những nỗ lực khai thác có chủ đích và được nhắm mục tiêu, gửi các yêu cầu được tạo sẵn đến “/chat/completions” với tiêu đề độc hại “Authorization: Bearer”. Các yêu cầu này truy vấn các bảng cụ thể chứa khóa API, thông tin xác thực của nhà cung cấp (OpenAI, Anthropic, Bedrock), dữ liệu môi trường và cấu hình.
Trong giai đoạn thứ hai của cuộc tấn công, kẻ tấn công đã thay đổi địa chỉ IP, có thể là để né tránh, thực hiện lại các nỗ lực tấn công SQL injection tương tự, nhưng tập trung vào các tên bảng và cấu trúc chính xác đã được xác định trong giai đoạn trước, giờ đây sử dụng ít payload hơn nhưng chính xác và hiệu quả hơn.
Sysdig đánh giá, mặc dù 36 giờ không nhanh bằng việc khai thác lỗ hổng gần đây trong Marimo, nhưng các cuộc tấn công này có mục tiêu và cụ thể.
Các nhà nghiên cứu cảnh báo rằng, các phiên bản LiteLMM bị lộ thông tin vẫn đang chạy các phiên bản dễ bị tổn thương nên được coi là có nguy cơ bị xâm phạm. Đồng thời, nhấn mạnh mọi khóa API ảo, khóa chính và thông tin xác thực nhà cung cấp được lưu trữ trong các phiên bản LiteLMM tiếp xúc với Internet cần được thay thế.
Đối với những người không thể nâng cấp lên LiteLLM 1.83.7 trở lên, nhóm bảo trì đề xuất giải pháp tạm thời là thiết lập “disable_error_logs: true” trong “general_settings” để chặn đường dẫn mà qua đó các đầu vào độc hại có thể tiếp cận truy vấn dễ bị tổn thương.