LiteLLM โดนแล้ว! ช่องโหว่ร้ายแรง เปิดทางแฮกเกอร์เจาะฐานข้อมูลล้วง API Key

ซอฟต์แวร์ตัวกลางแบบโอเพ่นซอร์ส ที่ใช้เชื่อมต่อและจัดการการเรียกใช้งานโมเดล AI หลายค่ายผ่านจุดเดียวอย่าง LiteLLM กำลังเผชิญภัยคุกคามครั้งใหญ่ หลังมีการเปิดเผยช่องโหว่ร้ายแรงระดับ Critical ที่เปิดทางให้แฮกเกอร์สามารถโจมตีแบบไม่ต้องยืนยันตัวตน และล่าสุดเริ่มถูกนำไปใช้โจมตีจริงแล้ว

ช่องโหว่นี้เป็นปัญหาแบบ SQL Injection ที่เกิดขึ้นในขั้นตอนตรวจสอบ API key ของ proxy ใน LiteLLM โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องยืนยันตัวตน เพียงส่ง Authorization header ที่ถูกออกแบบมาเป็นพิเศษไปยัง endpoint ของ LLM API ใดก็ได้

ช่องโหว่นี้เปิดทางให้สามารถอ่านข้อมูลจากฐานข้อมูลของ proxy และแก้ไขข้อมูลได้ โดยตามประกาศด้านความปลอดภัยของผู้ดูแลโครงการ ระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เพื่อ “เข้าถึง proxy และข้อมูล credentials ที่ระบบจัดการโดยไม่ได้รับอนุญาต”

ช่องโหว่นี้ถูกแก้ไขแล้วใน LiteLLM เวอร์ชัน 1.83.7 โดยเปลี่ยนจากการต่อ string ในคำสั่ง SQL มาใช้ parameterized queries แทน

LiteLLM มีการจัดเก็บข้อมูลสำคัญจำนวนมาก เช่น API keys, virtual keys, master keys รวมถึงค่า environment และ configuration ต่างๆ ดังนั้น หากเข้าถึงฐานข้อมูลได้ แฮกเกอร์ก็สามารถดึงข้อมูลสำคัญเหล่านี้ไปใช้โจมตีต่อได้

LiteLLM เป็น middleware ประเภท proxy/SDK ที่ได้รับความนิยม ใช้เป็นตัวกลางในการเรียกใช้งานโมเดล AI ผ่าน API เดียว โดยถูกใช้อย่างแพร่หลายในกลุ่มนักพัฒนาแอป LLM และแพลตฟอร์มที่ต้องจัดการหลายโมเดล ปัจจุบันมีผู้ติดดาวกว่า 45,000 ครั้ง และถูก fork มากกว่า 7,600 ครั้งบน GitHub

นอกจากนี้ โครงการยังเพิ่งตกเป็นเป้าของการโจมตีแบบ supply chain เมื่อกลุ่มแฮกเกอร์ TeamPCP ปล่อยแพ็กเกจ PyPI ปลอมที่แฝงมัลแวร์ขโมยข้อมูล (infostealer) เพื่อดึง credentials, tokens และ secrets จากเครื่องที่ติดตั้ง

รายงานจากนักวิจัยของ Sysdig บริษัทด้านความปลอดภัยคลาวด์ ระบุว่า การโจมตีช่องโหว่ CVE-2026-42208 เริ่มขึ้นภายในประมาณ 36 ชั่วโมง หลังจากมีการเปิดเผยช่องโหว่สู่สาธารณะเมื่อวันที่ 24 เมษายน

มีการโจมตีจริงแล้ว

นักวิจัยตรวจพบความพยายามโจมตีแบบเจาะจง โดยผู้โจมตีได้ส่งคำขอไปยัง endpoint ‘/chat/completions’ พร้อมฝังค่า ‘Authorization: Bearer’ ที่เป็นอันตราย

คำขอเหล่านี้มุ่งเป้าไปที่การ query ตารางสำคัญในฐานข้อมูล ซึ่งเก็บข้อมูลอย่าง API keys, credentials ของผู้ให้บริการ (เช่น OpenAI, Anthropic, Bedrock), ข้อมูล environment และค่าการตั้งค่าระบบ

ทาง Sysdig ระบุว่า ไม่พบการทดลองยิงไปยังตารางทั่วไปที่ไม่มีความสำคัญ แต่ “ผู้โจมตีพุ่งตรงไปยังจุดที่เก็บข้อมูลลับ” ซึ่งสะท้อนว่ามีความเข้าใจระบบและรู้เป้าหมายอย่างชัดเจน

ในเฟสที่สองของการโจมตี ผู้ไม่หวังดีได้เปลี่ยน IP address ซึ่งคาดว่าเพื่อหลบเลี่ยงการตรวจจับ จากนั้นทำการโจมตี SQL injection ซ้ำอีกครั้ง โดยคราวนี้ใช้ข้อมูลโครงสร้างตารางที่ได้จากเฟสแรก ทำให้ payload ที่ใช้มีจำนวนน้อยลง แต่แม่นยำมากขึ้น

Sysdig ระบุว่า แม้ระยะเวลา 36 ชั่วโมงจะไม่ถือว่าเร็วเท่ากับกรณีช่องโหว่ล่าสุดของ Marimo แต่ลักษณะการโจมตีครั้งนี้มีความเฉพาะเจาะจงและมีเป้าหมายชัดเจน

นักวิจัยเตือนว่า ระบบ LiteLLM ที่ยังเปิดใช้งานและใช้เวอร์ชันที่มีช่องโหว่ ควรถูกมองว่าอาจถูกเจาะแล้ว และควรทำการเปลี่ยน (rotate) API key ทุกประเภท รวมถึง credentials ของผู้ให้บริการทั้งหมด

สำหรับผู้ที่ยังไม่สามารถอัปเดตเป็นเวอร์ชัน 1.83.7 หรือใหม่กว่าได้ ผู้ดูแลโครงการแนะนำวิธีแก้ไขชั่วคราว โดยตั้งค่า ‘disable_error_logs: true’ ในส่วน ‘general_settings’ เพื่อปิดช่องทางที่ input อันตรายจะเข้าถึง query ที่มีช่องโหว่ได้

ที่มา