무슨 일이 있었나
Obsidian Security는 2026년 6월 15일 결합된 CVSS 9.9를 가진 LiteLLM의 4개 취약점 체인을 공개했습니다. 이 체인은 낮은 권한의 사용자가 전체 관리자로 상승하고 원격 코드 실행을 달성할 수 있습니다. 별도의 5번째 취약점(CVE-2026-42271, MCP 명령 인젝션)은 2026년 6월에 CISA의 알려진 악용 취약점 카탈로그에 추가되었으며 6월 22일 개선 기한이 있어 활성 악용을 나타냅니다.
왜 중요한가
LiteLLM은 조직의 애플리케이션과 여러 LLM 제공자 간의 요청을 라우팅하는 중요한 AI 인프라 구성요소입니다. 업스트림 제공자 자격 증명, 가상 API 키 발급, 모든 프롬프트 및 응답 로깅, 가드레일 실행, 에이전트 트래픽 프록시를 보유합니다. LiteLLM의 손상은 공격자에게 조직의 모든 AI 상호작용에 대한 접근을 부여하며, Claude Code 응답을 전송 중에 자동으로 수정하는 능력—백도어 삽입, 보안 검사 제거, 데이터 유출을 포함합니다. 패치는 공개 6주 전에 사용 가능했지만, 패치되지 않은 인스턴스는 여전히 악용 가능합니다.
공격 경로
1단계 (CVE-2026-47101): 인증된 낮은 권한의 사용자는 제한되지 않은 `allowed_routes` 와일드카드로 가상 API 키를 생성/업데이트하여 경로 권한 부여 검사를 우회합니다. 2단계 (CVE-2026-47102): 공격자가 `/user/update` 엔드포인트에 도달하고 자신을 `proxy_admin` 역할로 승격합니다. 3단계 (CVE-2026-40217): 관리 패널 콜백 구성 필드가 필터링되지 않은 `exec()`를 통해 실행되는 Python 코드를 수용하여 임의의 코드 실행을 허용합니다. 4단계 (CVE-2026-42271, 별도): 테스트 엔드포인트의 MCP 명령 인젝션은 공격자가 LiteLLM 프로세스로 임의의 호스트 명령을 생성할 수 있게 하여 Claude Code 및 기타 다운스트림 에이전트의 응답 하이재킹을 활성화합니다.
영향받는 시스템
LiteLLM < 1.83.14-stable (패치는 2026년 5월 2일 이후 사용 가능)
완화 방안
즉시 LiteLLM 1.83.14-stable 이상으로 업그레이드하고, 모든 제공자 API 키(OpenAI, Anthropic, Azure, AWS Bedrock)를 회전하고, 모든 proxy_admin 계정을 감사하고, 사용하지 않는 경우 Custom Code Guardrails를 비활성화하고, 네트워크 경계에서 MCP REST 테스트 엔드포인트를 차단합니다.