-
09/04/2020
-
131
-
1.846 bài viết
Lỗ hổng nghiêm trọng trong LiteLLM cho phép tin tặc truy cập dữ liệu nhạy cảm
Các chuyên gia an ninh mạng vừa phát hiện lỗ hổng nghiêm trọng mang mã CVE-2026-42208 trong LiteLLM, cho phép tin tặc xâm nhập hệ thống mà không cần đăng nhập. Lỗ hổng này hiện đang bị khai thác tích cực trong thực tế để đánh cắp các khóa API và thông tin định danh nhạy cảm từ các dịch vụ AI hàng đầu.
LiteLLM hiện là một trong những lớp trung gian phổ biến trong hệ sinh thái AI, cho phép gọi nhiều mô hình thông qua một API thống nhất. Dự án ghi nhận khoảng 45.000 lượt đánh dấu sao và 7.600 lượt fork trên GitHub, cho thấy mức độ sử dụng rộng rãi trong cộng đồng phát triển.
Theo báo cáo kỹ thuật, CVE-2026-42208 là lỗi SQL injection xảy ra trong quá trình LiteLLM xử lý xác thực API key tại lớp proxy, cho phép khai thác từ xa mà không cần đăng nhập. Tin tặc có thể gửi yêu cầu được tạo đặc biệt qua header Authorization tới các endpoint như /chat/completions để chèn truy vấn SQL, từ đó đọc và chỉnh sửa dữ liệu trong cơ sở dữ liệu nội bộ của hệ thống.
LiteLLM thường lưu trữ nhiều dữ liệu nhạy cảm như API key, master key, virtual key, cùng các cấu hình và biến môi trường liên quan đến các nhà cung cấp mô hình như OpenAI, Anthropic hay AWS Bedrock. Việc truy cập được cơ sở dữ liệu đồng nghĩa tin tặc có thể lấy toàn bộ các thông tin này, từ đó làm bàn đạp mở rộng sang các hệ thống và dịch vụ liên kết.
Các nhà nghiên cứu từ công ty an ninh mạng Sysdig cho biết hoạt động tấn công bắt đầu chỉ khoảng 36 giờ sau khi lỗ hổng được công bố vào ngày 24/04/2026, cho thấy tốc độ tận dụng lỗ hổng rất nhanh trong hệ sinh thái AI. Quan sát thực tế ghi nhận các yêu cầu được gửi trực tiếp tới endpoint /chat/completions, sử dụng header Authorization: Bearer được chỉnh sửa để chèn truy vấn SQL. Đáng chú ý, các truy vấn này không dò quét diện rộng mà nhắm thẳng vào các bảng chứa API key, dữ liệu cấu hình và thông tin xác thực của các nhà cung cấp dịch vụ AI.
Ở giai đoạn tiếp theo, tin tặc chuyển sang sử dụng địa chỉ IP khác nhằm né tránh phát hiện, đồng thời tinh chỉnh các truy vấn dựa trên cấu trúc cơ sở dữ liệu đã thu thập trước đó. Cách tiếp cận này cho thấy mức độ nhắm mục tiêu rõ ràng và hiểu biết khá sâu về hệ thống.
Bản vá đã được phát hành trong phiên bản LiteLLM 1.83.7, trong đó cơ chế nối chuỗi truy vấn SQL được thay bằng truy vấn tham số hóa nhằm loại bỏ nguy cơ injection. Trước các dấu hiệu tấn công đã được ghi nhận, các quản trị viên hệ thống cần:
Theo báo cáo kỹ thuật, CVE-2026-42208 là lỗi SQL injection xảy ra trong quá trình LiteLLM xử lý xác thực API key tại lớp proxy, cho phép khai thác từ xa mà không cần đăng nhập. Tin tặc có thể gửi yêu cầu được tạo đặc biệt qua header Authorization tới các endpoint như /chat/completions để chèn truy vấn SQL, từ đó đọc và chỉnh sửa dữ liệu trong cơ sở dữ liệu nội bộ của hệ thống.
LiteLLM thường lưu trữ nhiều dữ liệu nhạy cảm như API key, master key, virtual key, cùng các cấu hình và biến môi trường liên quan đến các nhà cung cấp mô hình như OpenAI, Anthropic hay AWS Bedrock. Việc truy cập được cơ sở dữ liệu đồng nghĩa tin tặc có thể lấy toàn bộ các thông tin này, từ đó làm bàn đạp mở rộng sang các hệ thống và dịch vụ liên kết.
Các nhà nghiên cứu từ công ty an ninh mạng Sysdig cho biết hoạt động tấn công bắt đầu chỉ khoảng 36 giờ sau khi lỗ hổng được công bố vào ngày 24/04/2026, cho thấy tốc độ tận dụng lỗ hổng rất nhanh trong hệ sinh thái AI. Quan sát thực tế ghi nhận các yêu cầu được gửi trực tiếp tới endpoint /chat/completions, sử dụng header Authorization: Bearer được chỉnh sửa để chèn truy vấn SQL. Đáng chú ý, các truy vấn này không dò quét diện rộng mà nhắm thẳng vào các bảng chứa API key, dữ liệu cấu hình và thông tin xác thực của các nhà cung cấp dịch vụ AI.
Ở giai đoạn tiếp theo, tin tặc chuyển sang sử dụng địa chỉ IP khác nhằm né tránh phát hiện, đồng thời tinh chỉnh các truy vấn dựa trên cấu trúc cơ sở dữ liệu đã thu thập trước đó. Cách tiếp cận này cho thấy mức độ nhắm mục tiêu rõ ràng và hiểu biết khá sâu về hệ thống.
Bản vá đã được phát hành trong phiên bản LiteLLM 1.83.7, trong đó cơ chế nối chuỗi truy vấn SQL được thay bằng truy vấn tham số hóa nhằm loại bỏ nguy cơ injection. Trước các dấu hiệu tấn công đã được ghi nhận, các quản trị viên hệ thống cần:
- Nâng cấp LiteLLM lên phiên bản 1.83.7 hoặc mới hơn
- Xoay vòng toàn bộ API key, master key và thông tin xác thực liên quan
- Nếu chưa thể cập nhật, có thể bật disable_error_logs: true trong general_settings để hạn chế khả năng bị khai thác
Sự cố một lần nữa cho thấy rủi ro ngày càng lớn tại các lớp hạ tầng trung gian trong hệ sinh thái AI, nơi chỉ một lỗi xử lý đầu vào cũng có thể dẫn đến rò rỉ dữ liệu nhạy cảm.