기술 설명
오픈소스 LiteLLM AI 게이트웨이의 중대한 SQL 인젝션 취약점(CVSS 9.3)으로 인해 프록시 API 키 검증 중 미인증 공격자가 데이터베이스 콘텐츠에 접근하고 수정할 수 있습니다. 이 결함은 데이터베이스 쿼리가 매개변수화된 쿼리를 사용하는 대신 호출자가 제공한 값을 쿼리 문자열에 직접 포함하기 때문에 발생하며, 이 취약점은 인증 전에 트리거되어 완전한 사전 인증 상태입니다. Sysdig는 공격자들이 API 키, 제공자 자격 증명 및 환경 변수 구성을 포함하는 세 가지 데이터베이스 테이블을 구체적으로 대상으로 하는 것을 관찰했습니다.
공격 경로
미인증 공격자는 LiteLLM 프록시가 노출한 모든 LLM API 경로로 특수하게 조작된 Authorization 헤더를 보냅니다. 악의적인 입력은 인증 검사 전에 키 검증 중에 실행되는 SQL 쿼리에 포함됩니다. 공격자는 이후 데이터베이스에 저장된 자격 증명을 읽거나 데이터를 수정하여 자격 증명 도용 및 연결된 LLM 제공자로의 잠재적 횡적 이동을 가능하게 할 수 있습니다.
영향받는 시스템
2026년 4월 20일에 공개된 패치 이전의 LiteLLM 프록시 배포. LiteLLM은 애플리케이션과 LLM 제공자(OpenAI, Anthropic, Azure OpenAI 등) 사이에 위치하여 인증, 부하 분산 및 비용 추적을 처리하는 널리 사용되는 오픈소스 AI 게이트웨이입니다. LiteLLM을 사용하여 LLM API 접근을 관리하는 모든 조직이 영향을 받습니다.
완화 방안
LiteLLM을 즉시 2026년 4월 20일에 공개된 패치 버전으로 업그레이드하십시오. 4월 24일(공지가 GitHub Advisory 데이터베이스에 인덱싱된 시점)부터 패치 배포까지 의심스러운 Authorization 헤더 또는 SQL 오류가 있는지 프록시 접근 로그를 검토하십시오. LiteLLM 데이터베이스에 저장된 모든 API 키 및 제공자 자격 증명을 회전시키십시오. 자격 증명 테이블을 대상으로 한 활성 악용이 관찰되었습니다. 네트워크 분할을 구현하여 LiteLLM 프록시 노출을 제한하십시오.