En otro caso más de actores de amenazas que se subieron rápidamente al tren de la explotación, una falla de seguridad crítica recientemente revelada en el paquete LiteLLM Python de BerriAI ha sido explotada activamente en la naturaleza dentro de las 36 horas posteriores a que el error se hiciera público.
La vulnerabilidad, identificada como CVE-2026-42208 (puntuación CVSS: 9,3), es una inyección SQL que podría explotarse para modificar la base de datos proxy LiteLLM subyacente.
“Una consulta de base de datos utilizada durante las comprobaciones de claves API de proxy mezcló el valor de clave proporcionado por la persona que llama en el texto de la consulta en lugar de pasarlo como un parámetro separado”, dijeron los mantenedores de LiteLLM en una alerta la semana pasada.
“Un atacante no autenticado podría enviar un encabezado de Autorización especialmente diseñado a cualquier ruta API de LLM (por ejemplo, POST /chat/completions) y acceder a esta consulta a través de la ruta de manejo de errores del proxy. Un atacante podría leer datos de la base de datos del proxy y puede modificarlos, lo que conduciría a un acceso no autorizado al proxy y a las credenciales que administra”.
La deficiencia afecta a las siguientes versiones:
Si bien la vulnerabilidad se abordó en la versión 1.83.7 estable lanzada el 19 de abril de 2026, el primer intento de explotación se registró el 26 de abril a las 16:17 UTC, aproximadamente 26 horas y siete minutos después de que el aviso de GitHub fuera indexado en la base de datos global de avisos de GitHub. La actividad de inyección de SQL, según Sysdig, se originó en la dirección IP 65.111.27(.)132.
“La actividad maliciosa se dividió en dos fases impulsadas por el mismo operador a través de dos IP de salida adyacentes, seguidas de una breve investigación no autenticada de los puntos finales de administración de claves”, dijo el investigador de seguridad Michael Clark.
Específicamente, se dice que el actor de amenaza desconocido apuntó a tablas de bases de datos como “litellm_credentials.credential_values” y “litellm_config” que contienen información relacionada con las claves del proveedor del modelo de lenguaje grande (LLM) ascendente y el entorno de ejecución del proxy. No se observaron sondas en tablas como “litellm_users” o “litellm_team”.
Esto sugiere que el atacante no sólo estaba al tanto de estas tablas, sino que también persiguió aquellas que contienen secretos confidenciales. En la segunda fase del ataque, observada después de 20 minutos, el actor de la amenaza utilizó una dirección IP diferente (“65.111.25(.)67”), esta vez abusando del acceso para ejecutar una investigación similar.
LiteLLM es un popular software AI Gateway de código abierto con más de 45.000 estrellas y 7.600 bifurcaciones en GitHub. El mes pasado, el proyecto fue objeto de un ataque a la cadena de suministro orquestado por el grupo de hackers TeamPCP para robar credenciales y secretos de los usuarios intermedios.
“Una sola fila litellm_credentials a menudo contiene una clave de organización OpenAI con límites de gasto mensual de cinco cifras, una clave de consola Anthropic con derechos de administrador del espacio de trabajo y una credencial AWS Bedrock IAM”, dijo Sysdig. “El radio de explosión de una extracción exitosa de una base de datos está más cerca de comprometer una cuenta en la nube que de una inyección SQL típica de una aplicación web”.
Se recomienda a los usuarios que actualicen sus instancias a la última versión. Si esta no es una opción inmediata, los mantenedores recomiendan configurar “disable_error_logs: true” en “general_settings” para eliminar la ruta a través de la cual las entradas que no son de confianza llegan a la consulta vulnerable.
“La vulnerabilidad LiteLLM (GHSA-r75f-5x8p-qvmc) continúa el patrón modal para los avisos de infraestructura de IA: crítico, previo a la autenticación y en software con recuentos de estrellas de cinco cifras en los que los operadores confían para centralizar las credenciales de nivel de nube”, agregó Sysdig.
“La ventana de explotación de 36 horas es consistente con el colapso más amplio documentado por el Reloj de Día Cero, y el comportamiento del operador que registramos (nombres de tablas Prisma palabra por palabra, orientación de tres tablas, enumeración deliberada de recuento de columnas) muestra que la explotación ya no espera a una prueba de concepto pública. El aviso y el esquema de código abierto fueron finalmente suficientes”.
