Zeltoc/threat-intel-brief-cve-2026-42208-litellm

# 威胁情报简报 - CVE-2026-42208：BerriAI LiteLLM SQL 注入 **CVE：** CVE-2026-42208 **GHSA：** GHSA-r75f-5x8p-qvmc **CVSS 评分：** 9.3 (严重) **受影响软件：** BerriAI LiteLLM 版本 >= 1.81.16, < 1.83.7 **修复版本：** 1.83.7-stable (发布于 2026 年 4 月 19 日) **CISA KEV 收录时间：** 2026 年 5 月 8 日 **来源：** CISA KEV, Sysdig TRT, The Hacker News, Security Affairs ## 执行摘要 BerriAI 的 LiteLLM Python 包中存在一个严重的预认证 SQL 注入漏洞，在公开披露后的 36 小时内即遭到野外主动利用。LiteLLM 是一个在 GitHub 上拥有超过 22,000 个 Star 的开源 AI 网关，被各组织广泛用于管理跨多个 LLM 提供商（包括 OpenAI、Anthropic 和云端托管模型）的 API 调用。成功利用该漏洞可使未经认证的攻击者获得对代理数据库的读写权限，而该数据库中存储了 LLM 提供商的 API 密钥、云凭证、虚拟密钥和支出预算配置。CISA 于 2026 年 5 月 8 日将此漏洞添加到了已知被利用漏洞 (KEV) 目录中。 ## 什么是 LiteLLM LiteLLM 是一个代理服务器，它将 OpenAI 兼容的 REST API 作为统一前端，提供给数十个上游 LLM 提供商使用。各组织使用它来集中管理 LLM 访问控制、应用速率限制、跟踪支出，并从单一节点管理跨多个模型提供商的凭证。该代理将 API 密钥和云提供商凭证存储在 PostgreSQL 后端数据库中。 正是这种集中的凭证存储，使得该漏洞的影响尤为严重。一个被攻陷的 LiteLLM 实例不仅会暴露一个 API 密钥——它还可能暴露组织在所有 LLM 提供商中配置的每一个云凭证。 ## 漏洞详情 ### 根本原因 该缺陷存在于 LiteLLM 的代理 API 密钥验证过程中。当请求到达时，代理会根据其数据库检查 `Authorization: Bearer` 头的值，以对调用者进行身份验证。在受影响的版本中，bearer token 的值被直接拼接到 SQL 查询字符串中，而不是作为参数化输入传递： ``` # 漏洞模式 (v1.83.7 之前) cursor.execute(f"SELECT * FROM LiteLLM_VerificationToken WHERE key = '{api_key}'") ``` bearer 值中的单引号允许攻击者跳出字符串字面量，并附加任意的 SQL 语句。由于注入点位于身份验证检查环节本身，因此触发该漏洞不需要任何有效的凭证。 ### 攻击路径 1. 攻击者向任何 LLM API 端点发送特制的 HTTP 请求（例如，`POST /chat/completions`） 2. `Authorization: Bearer` 头中包含 SQL 注入 payload 3. 请求流经代理的错误处理路径，并到达存在漏洞的查询 4. 攻击者可以对 PostgreSQL 后端执行任意的 SELECT 或潜在的 INSERT/UPDATE/DELETE 语句 5. 包含 API 密钥、提供商凭证和配置数据的数据库表被暴露 ### 攻击者的目标 Sysdig 的威胁研究团队观察到，现实世界中的利用尝试主要针对以下目标： - `LiteLLM_VerificationToken` 表 -- 虚拟 API 密钥和访问控制 - 凭证存储表 -- 上游 LLM 提供商的 API 密钥 (OpenAI, Anthropic 等) - 配置表 -- 模型定义、支出预算、速率限制设置 ## 利用时间线 | 日期/时间 | 事件 | |---|---| | 2026 年 4 月 19 日 | 补丁发布 (LiteLLM v1.83.7-stable) | | 2026 年 4 月 20 日 21:14 UTC | 维护方发布仓库安全公告 | | 2026 年 4 月 24 日 16:17 UTC | 公告被收录至 GitHub 全球公告数据库（防御者数据源在此处显示） | | 2026 年 4 月 26 日 16:24 UTC | Sysdig TRT 观察到首次利用尝试 -- 索引后 36 小时 7 分钟 | | 2026 年 5 月 8 日 | CISA 将 CVE-2026-42208 添加至 KEV 目录 | 36 小时的利用窗口期符合有组织的威胁行为者的特征，他们使用自动化扫描来监控新的 CVE 发布，并快速开发或改造漏洞利用代码。SQL 注入是一类为人熟知的漏洞——一旦确定了受影响的代码路径，武器化就变得非常简单。 ## 影响评估 **机密性：** 高 -- 数据库内容可被读取，包括凭证 **完整性：** 高 -- 数据库可被写入，密钥可被添加、修改或删除 **可用性：** 中 -- 代理可能因数据库被修改而中断 **所需认证：** 无 -- 完全的预认证 **所需网络访问权限：** 是 -- 攻击者必须能够访问代理端口 **为何这比普通 SQL 注入更严重：** LiteLLM 的专门设计就是集中管理凭证。运行受感染 LiteLLM 实例的组织可能已经为其配置了 OpenAI、Anthropic、Azure OpenAI、AWS Bedrock 和其他提供商的 API 密钥。这些密钥中的每一个都代表了对具有潜在巨大支出限额的付费 LLM 服务的访问权限。除了滥用 LLM 支出外，数据库中的云提供商凭证还可能使攻击者横向移动到 AWS、Azure 或 GCP 环境中。 ## 受影响版本 | 状态 | 版本 | |---|---| | 受影响 | >= 1.81.16 且 < 1.83.7 | | 已修复 | >= 1.83.7-stable | ## 检测机会 ### 网络/WAF 层面 查找发往 LiteLLM 端点且 Authorization 头中包含 SQL 元字符的 HTTP 请求： ``` Authorization: Bearer ' OR 1=1-- Authorization: Bearer '; SELECT * FROM LiteLLM_VerificationToken-- Authorization: Bearer ' UNION SELECT-- ``` 需要在代理日志中搜寻的指标： - 发往 `/chat/completions`、`/embeddings` 或其他 API 路由，且带有格式错误 bearer token 的请求 - 包含单引号、双破折号、UNION、SELECT 或其他 SQL 关键字的 Bearer 值 - 同一源 IP 发出带有各种 Authorization 头且引发大量 4xx 响应的请求 ### 数据库层面 - 针对带有异常 WHERE 子句的 `LiteLLM_VerificationToken` 的意外 SELECT 查询 - 正常应用程序查询模式之外的、对凭证或配置表的访问 - 并非通过管理 UI 创建的新增或被修改的 API 密钥记录 ### MITRE ATT&CK | 技术 | ID | 描述 | |---|---|---| | 利用面向公众的应用 | T1190 | 针对暴露在互联网上的 LiteLLM 代理的 SQL 注入 | | 来自密码存储的凭证 | T1555 | 从代理数据库中提取 API 密钥和云凭证 | | 有效账户：云账户 | T1078.004 | 利用窃取的云提供商凭证进行后续攻击 | ## 建议措施 **立即执行（如果正在运行受影响版本）：** 1. 立即升级至 LiteLLM >= 1.83.7-stable 2. 如果在漏洞窗口期（4 月 19 日至部署补丁期间）曾暴露于互联网，请将其视为潜在的系统被攻陷事件——不要假设未打补丁 = 未被攻陷 3. 轮换存储在 LiteLLM 数据库中的所有 API 密钥和云凭证 4. 审查代理访问日志中 Authorization 头内的 SQL 注入指标 **短期措施：** 5. 限制对 LiteLLM 代理端口的网络访问——在未设置前置认证的情况下，它不应直接暴露在互联网上 6. 启用数据库查询日志记录以检测未来的注入尝试 7. 添加 WAF 规则以检查 Authorization 头中的 SQL 元字符 **持续措施：** 8. 订阅 CISA KEV 警报——该漏洞在大多数补丁周期完成之前就已被主动利用 9. 将 AI 基础设施视为高价值凭证存储库——应用于 Secrets Manager 的相同安全控制也应适用于 LLM 代理部署 ## 分析师备注 **为何 AI 基硎设施正成为日益增长的目标：** LiteLLM 及类似工具处于一个特权位置——它们持有具有高支出限额的付费云服务凭证，并且通常由工程团队而非安全团队部署，安全审查成熟度较低。Sysdig 团队特别指出，LiteLLM 的运营者“信任它来集中管理云端级别的凭证”，这使其成为凭证盗窃和 LLM 服务滥用（使用窃取的 API 密钥对付费模型运行自己的查询）的极具吸引力的目标。 **36 小时的利用窗口期是一个基准：** 这并非异常现象。威胁行为者会主动监控 CVE 发布源和公告数据库。对于广泛使用的开源软件中出现的严重预认证漏洞，应假设在公开披露后的 24-48 小时内就会开始被利用。补丁 SLA 需要将这一现实纳入考量——30 天的补丁修复窗口不适用于 CVSS 9+ 的预认证漏洞。 **作为优先级排序信号的 CISA KEV：** KEV 目录仅包含已确认在现实世界中被利用的漏洞。如果某个 CVE 出现在 KEV 中，那它就绝不仅是理论上的——已经有人利用它攻击了真实目标。各组织应将 KEV 的收录视为立即行动的项目，无需考虑其内部的基于 CVSS 的优先级阈值。 ## 参考文献 - [CISA KEV -- CVE-2026-42208](https://www.cisa.gov/news-events/alerts/2026/05/08/cisa-adds-one-known-exploited-vulnerability-catalog) - [Sysdig TRT 分析](https://www.sysdig.com/blog/cve-2026-42208-targeted-sql-injection-against-litellms-authentication-path-discovered-36-hours-following-vulnerability-disclosure) - [The Hacker News 报道](https://thehackernews.com/2026/04/litellm-cve-2026-42208-sql-injection.html) - [Security Affairs](https://securityaffairs.com/191483/hacking/cve-2026-42208-litellm-bug-exploited-36-hours-after-its-disclosure.html) - [GHSA-r75f-5x8p-qvmc](https://github.com/advisories/GHSA-r75f-5x8p-qvmc) - [MITRE ATT&CK T1190](https://attack.mitre.org/techniques/T1190/) - [MITRE ATT&CK T1555](https://attack.mitre.org/techniques/T1555/)

标签：0day漏洞, AI安全, API安全, API密钥泄露, BerriAI LiteLLM, Chat Copilot, CISA KEV, CISA项目, CVE-2026-42208, CVSS 9.3, GHSA-r75f-5x8p-qvmc, JSON输出, LLM网关安全, PostgreSQL安全, SQL注入漏洞, 严重漏洞, 云凭证窃取, 代理服务器漏洞, 企业安全, 在野利用, 多线程, 威胁情报, 库, 应急响应, 开发者工具, 数据泄露, 测试用例, 漏洞分析, 网络资产管理, 路径探测, 身份验证绕过, 逆向工具, 防御加固