📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Em mais um caso em que os agentes de ameaças rapidamente aderiram ao movimento da exploração, uma falha crítica de segurança recentemente divulgada no pacote LiteLLM Python da BerriAI foi explorada ativamente em estado selvagem dentro de 36 horas após o bug se tornar de conhecimento público.
A vulnerabilidade, rastreada como CVE-2026-42208 (pontuação CVSS: 9,3), é uma injeção de SQL que pode ser explorada para modificar o banco de dados proxy LiteLLM subjacente.
“Uma consulta de banco de dados usada durante verificações de chave de API de proxy misturou o valor da chave fornecido pelo chamador no texto da consulta em vez de passá-lo como um parâmetro separado”, disseram os mantenedores do LiteLLM em um alerta na semana passada.
"Um invasor não autenticado pode enviar um cabeçalho de autorização especialmente criado para qualquer rota da API LLM (por exemplo, POST /chat/completions) e acessar essa consulta por meio do caminho de tratamento de erros do proxy. Um invasor pode ler dados do banco de dados do proxy e modificá-los, levando ao acesso não autorizado ao proxy e às credenciais que ele gerencia."
A deficiência afeta as seguintes versões -
>=1.81.16
<1,83,7
Embora a vulnerabilidade tenha sido corrigida na versão 1.83.7-stable lançada em 19 de abril de 2026, a primeira tentativa de exploração foi registrada em 26 de abril às 16h17 UTC, aproximadamente 26 horas e sete minutos após o comunicado do GitHub ter sido indexado no banco de dados consultivo global do GitHub. A atividade de injeção SQL, por Sysdig, originou-se do endereço IP 65.111.27[.]132.
“A atividade maliciosa caiu em duas fases conduzidas pelo mesmo operador em dois IPs de saída adjacentes, seguida por uma breve investigação não autenticada dos endpoints de gerenciamento de chaves”, disse o pesquisador de segurança Michael Clark.
Especificamente, diz-se que o ator de ameaça desconhecido tem como alvo tabelas de banco de dados como "litellm_credentials.credential_values" e "litellm_config" que contêm informações relacionadas às chaves do provedor upstream de modelo de linguagem grande (LLM) e ao ambiente de tempo de execução do proxy. Nenhuma investigação foi observada em tabelas como "litellm_users" ou "litellm_team".
Isso sugere que o invasor não apenas estava ciente dessas tabelas, mas também perseguiu aquelas que guardam segredos confidenciais. Na segunda fase do ataque, observada após 20 minutos, o autor da ameaça utilizou um endereço IP diferente (“65.111.25[.]67”), desta vez abusando do acesso para executar uma investigação semelhante.
LiteLLM é um software AI Gateway popular e de código aberto com mais de 45.000 estrelas e 7.600 garfos no GitHub. No mês passado, o projeto foi alvo de um ataque à cadeia de suprimentos orquestrado pelo grupo de hackers TeamPCP para roubar credenciais e segredos de usuários downstream.
“Uma única linha litellm_credentials geralmente contém uma chave de organização OpenAI com limites de gastos mensais de cinco dígitos, uma chave de console Anthropic com direitos de administrador de espaço de trabalho e uma credencial AWS Bedrock IAM”, disse Sysdig. "O raio de ação de uma extração de banco de dados bem-sucedida está mais próximo de um comprometimento da conta na nuvem do que de uma típica injeção de SQL em aplicativos da web."
Os usuários são aconselhados a corrigir suas instâncias para a versão mais recente. Se esta não for uma opção imediata, os mantenedores recomendam definir "disable_error_logs: true" em "general_settings" para remover o caminho através do qual a entrada não confiável atinge a consulta vulnerável.
“A vulnerabilidade LiteLLM (GHSA-r75f-5x8p-qvmc) continua o padrão modal para avisos de infraestrutura de IA: crítico, pré-autenticação e em software com contagens de estrelas de cinco dígitos em que as operadoras confiam para centralizar credenciais de nível de nuvem”, acrescentou Sysdig.
“A janela de exploração de 36 horas é consistente com o colapso mais amplo documentado pelo Zero Day Clock, e o comportamento do operador que registramos (nomes de tabelas Prisma textuais, segmentação de três tabelas, enumeração deliberada de contagem de colunas) mostra que a exploração não espera mais por um PoC público.
A vulnerabilidade, rastreada como CVE-2026-42208 (pontuação CVSS: 9,3), é uma injeção de SQL que pode ser explorada para modificar o banco de dados proxy LiteLLM subjacente.
“Uma consulta de banco de dados usada durante verificações de chave de API de proxy misturou o valor da chave fornecido pelo chamador no texto da consulta em vez de passá-lo como um parâmetro separado”, disseram os mantenedores do LiteLLM em um alerta na semana passada.
"Um invasor não autenticado pode enviar um cabeçalho de autorização especialmente criado para qualquer rota da API LLM (por exemplo, POST /chat/completions) e acessar essa consulta por meio do caminho de tratamento de erros do proxy. Um invasor pode ler dados do banco de dados do proxy e modificá-los, levando ao acesso não autorizado ao proxy e às credenciais que ele gerencia."
A deficiência afeta as seguintes versões -
>=1.81.16
<1,83,7
Embora a vulnerabilidade tenha sido corrigida na versão 1.83.7-stable lançada em 19 de abril de 2026, a primeira tentativa de exploração foi registrada em 26 de abril às 16h17 UTC, aproximadamente 26 horas e sete minutos após o comunicado do GitHub ter sido indexado no banco de dados consultivo global do GitHub. A atividade de injeção SQL, por Sysdig, originou-se do endereço IP 65.111.27[.]132.
“A atividade maliciosa caiu em duas fases conduzidas pelo mesmo operador em dois IPs de saída adjacentes, seguida por uma breve investigação não autenticada dos endpoints de gerenciamento de chaves”, disse o pesquisador de segurança Michael Clark.
Especificamente, diz-se que o ator de ameaça desconhecido tem como alvo tabelas de banco de dados como "litellm_credentials.credential_values" e "litellm_config" que contêm informações relacionadas às chaves do provedor upstream de modelo de linguagem grande (LLM) e ao ambiente de tempo de execução do proxy. Nenhuma investigação foi observada em tabelas como "litellm_users" ou "litellm_team".
Isso sugere que o invasor não apenas estava ciente dessas tabelas, mas também perseguiu aquelas que guardam segredos confidenciais. Na segunda fase do ataque, observada após 20 minutos, o autor da ameaça utilizou um endereço IP diferente (“65.111.25[.]67”), desta vez abusando do acesso para executar uma investigação semelhante.
LiteLLM é um software AI Gateway popular e de código aberto com mais de 45.000 estrelas e 7.600 garfos no GitHub. No mês passado, o projeto foi alvo de um ataque à cadeia de suprimentos orquestrado pelo grupo de hackers TeamPCP para roubar credenciais e segredos de usuários downstream.
“Uma única linha litellm_credentials geralmente contém uma chave de organização OpenAI com limites de gastos mensais de cinco dígitos, uma chave de console Anthropic com direitos de administrador de espaço de trabalho e uma credencial AWS Bedrock IAM”, disse Sysdig. "O raio de ação de uma extração de banco de dados bem-sucedida está mais próximo de um comprometimento da conta na nuvem do que de uma típica injeção de SQL em aplicativos da web."
Os usuários são aconselhados a corrigir suas instâncias para a versão mais recente. Se esta não for uma opção imediata, os mantenedores recomendam definir "disable_error_logs: true" em "general_settings" para remover o caminho através do qual a entrada não confiável atinge a consulta vulnerável.
“A vulnerabilidade LiteLLM (GHSA-r75f-5x8p-qvmc) continua o padrão modal para avisos de infraestrutura de IA: crítico, pré-autenticação e em software com contagens de estrelas de cinco dígitos em que as operadoras confiam para centralizar credenciais de nível de nuvem”, acrescentou Sysdig.
“A janela de exploração de 36 horas é consistente com o colapso mais amplo documentado pelo Zero Day Clock, e o comportamento do operador que registramos (nomes de tabelas Prisma textuais, segmentação de três tabelas, enumeração deliberada de contagem de colunas) mostra que a exploração não espera mais por um PoC público.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #litellm #cve202642208 #sql #injection #explorada #dentro #de #36 #horas #após #a #divulgação
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário