Descoberta e escopo da vulnerabilidade
Uma falha de segurança crítica foi identificada no LiteLLM, um gateway de código aberto amplamente utilizado para gerenciar conexões com modelos de linguagem de grande porte (LLMs) como OpenAI, Anthropic e AWS Bedrock. Rastreada como CVE-2026-42208, a vulnerabilidade permite que atacantes realizem injeção de SQL sem autenticação prévia, comprometendo diretamente a integridade dos dados armazenados no banco de dados PostgreSQL subjacente.
O LiteLLM atua como um proxy central para roteamento de IA e faturamento, armazenando segredos de alto valor, incluindo chaves de API mestras e credenciais de nuvem corporativas. A falha reside no processo de verificação do proxy, especificamente na proteção inadequada do cabeçalho Authorization Bearer.
Exploração ativa e evidências técnicas
A equipe de pesquisa de ameaças da Sysdig detectou a primeira tentativa de exploração apenas 36 horas e sete minutos após a vulnerabilidade ser indexada no GitHub Advisory Database em 24 de abril de 2026. Ao contrário de varreduras automatizadas ruidosas, os atacantes demonstraram conhecimento avançado da estrutura interna do LiteLLM.
A exploração ocorre inserindo uma única aspa simples em um token falso, como sk-litellm', permitindo que o invasor escape da consulta pretendida e execute comandos de banco de dados maliciosos antes mesmo da autenticação. Os atacantes direcionaram ataques específicos para três tabelas críticas:
LiteLLM_VerificationToken: Armazena chaves de API virtuais.litellm_credentials: Contém credenciais de provedores armazenadas.litellm_config: Guarda configurações de ambiente.
A atividade coordenada originou-se de dois endereços IP (65.111.27.132 e 65.111.25.67) dentro do mesmo sistema autônomo, indicando um esforço deliberado de extração de dados.
Impacto e alcance operacional
O raio de explosão de uma violação bem-sucedida é comparável a um comprometimento massivo de conta em nuvem, e não a um ataque típico de aplicativo web. Qualquer cliente HTTP que possa alcançar a porta do proxy pode executar a exploração. Isso significa que servidores expostos à internet com versões afetadas (de 1.81.16 a 1.83.6) devem ser considerados comprometidos.
Como os gateways de IA estão se tornando repositórios principais para credenciais de nuvem caras, eles devem ser tratados como alvos de segurança de nível superior. O vazamento dessas credenciais pode resultar em consumo não autorizado de tokens de IA, custos financeiros inesperados e acesso não autorizado a recursos de nuvem.
Medidas de mitigação recomendadas
Os mantenedores do LiteLLM lançaram a versão 1.83.7, que resolve a vulnerabilidade protegendo adequadamente as consultas do banco de dados. As organizações devem aplicar esta atualização imediatamente. Além do patch, as equipes de segurança devem:
- Rodar todas as chaves de API virtuais, chaves mestras e credenciais de provedor armazenadas.
- Monitorar contas de faturamento de nuvem upstream para chamadas de API inesperadas ou consumo não autorizado de tokens de IA.
- Auditar logs de servidores web em busca de solicitações suspeitas contendo palavras-chave SQL ou o payload
sk-litellm'. - Isolar ambientes de proxy atrás de redes internas sempre que possível.
O que os CISOs devem fazer agora
A prioridade imediata é a rotação de credenciais. Assumir que servidores vulneráveis e expostos à internet já foram comprometidos é essencial para uma resposta eficaz. Manter uma gestão de patches rigorosa e segurar esses ambientes proxy atrás de redes internas são passos essenciais para prevenir o roubo devastador de credenciais corporativas.
Perguntas frequentes
Qual versão é afetada? Versões de 1.81.16 até 1.83.6.
É necessário login para explorar? Não, a vulnerabilidade é pré-autenticação.
Os dados dos clientes foram comprometidos? O foco foi nas credenciais de provedor e configurações do sistema, mas a rotação é mandatória.