Các đối tượng đe dọa đang tích cực khai thác một chuỗi lỗ hổng nghiêm trọng trên LiteLLM, một proxy cổng AI mã nguồn mở phổ biến. Lỗ hổng này cho phép thực thi mã từ xa (RCE) không xác thực trên các hệ thống bị ảnh hưởng. Các nhà nghiên cứu tại Horizon3.ai đã xác nhận sự kết hợp của hai lỗ hổng CVE tạo ra một đường tấn công có CVSS 10.0, yêu cầu không cần bất kỳ thông tin đăng nhập nào. Đây là một tin tức bảo mật quan trọng cần chú ý.
Chi tiết Lỗ hổng LiteLLM
CVE-2026-42271: Command Injection trong MCP Server
Cốt lõi của mối đe dọa này là CVE-2026-42271, một lỗ hổng command injection trong các điểm cuối kiểm tra giao thức Model Context Protocol (MCP) của LiteLLM. Cụ thể, các điểm cuối này chấp nhận cấu hình máy chủ đầy đủ, bao gồm lệnh, đối số và biến môi trường, sau đó thực thi đầu vào được cung cấp dưới dạng một tiến trình con trên máy chủ.
CVE-2026-48710: Starlette Host Header Validation Bypass
Khi CVE-2026-42271 được công bố lần đầu vào ngày 20 tháng 4 năm 2026, tác động của nó được đánh giá là hạn chế do yêu cầu truy cập là một khóa API hợp lệ. Tuy nhiên, các nhà nghiên cứu của Horizon3.ai đã phá vỡ giả định này bằng cách kết hợp nó với CVE-2026-48710. Đây là một lỗ hổng Starlette “BadHost” Host Header validation bypass, ảnh hưởng đến các phiên bản Starlette 1.0.0 trở về trước.
Khai thác Kết hợp để Đạt RCE Không Xác thực
Bằng cách thao túng tiêu đề HTTP Host để khai thác lỗ hổng Starlette authentication bypass, kẻ tấn công có thể bỏ qua yêu cầu khóa API của LiteLLM. Kết quả là, các lệnh thực thi mã từ xa không xác thực sẽ được thực thi với các đặc quyền tương đương với tiến trình proxy LiteLLM, hoàn toàn không cần đăng nhập hoặc khóa API.
Ảnh hưởng và Phiên bản bị ảnh hưởng
Các phiên bản LiteLLM bị tấn công
Các phiên bản LiteLLM từ 1.74.2 đến 1.83.6 bị ảnh hưởng, đặc biệt là trên các triển khai có cây phụ thuộc bao gồm Starlette phiên bản ≤ 1.0.0.
Tác động đến Hệ thống
Việc khai thác thành công chuỗi lỗ hổng này mang lại cho kẻ tấn công khả năng tiếp cận sâu rộng vào cơ sở hạ tầng AI. Sau khi đạt được quyền thực thi mã, các đối tượng đe dọa có thể:
- Thực hiện các lệnh tùy ý trên hệ thống máy chủ.
- Truy cập, sửa đổi hoặc xóa dữ liệu nhạy cảm.
- Cài đặt các phần mềm độc hại khác.
- Di chuyển ngang sang các hệ thống khác trong mạng.
Nguy cơ chuỗi cung ứng AI
Do LiteLLM được sử dụng rộng rãi để định tuyến và quản lý các lời gọi API tới các mô hình ngôn ngữ lớn (LLM) từ các nhà cung cấp như OpenAI, Anthropic và Azure, việc xâm phạm lớp cổng có thể gây ra sự phơi nhiễm trên diện rộng cho chuỗi cung ứng AI. Đây là một mối đe dọa mạng nghiêm trọng.
Phát hiện và Giám sát Hoạt động Khai thác
Dấu hiệu của hoạt động khai thác
Các nhóm bảo mật nên theo dõi các dấu hiệu sau đây của hoạt động khai thác:
- Các yêu cầu HTTP bất thường tới các điểm cuối kiểm tra MCP của LiteLLM, đặc biệt là với các tiêu đề Host được sửa đổi.
- Sự gia tăng các tiến trình con không mong muốn hoặc các lệnh đáng ngờ được thực thi bởi tiến trình LiteLLM.
- Hoạt động mạng bất thường phát sinh từ máy chủ LiteLLM.
- Sự hiện diện của các tệp hoặc cấu hình lạ trên hệ thống.
Biện pháp Khắc phục và Phòng ngừa
Cập nhật LiteLLM và Starlette
Các tổ chức nên ngay lập tức nâng cấp LiteLLM lên phiên bản 1.83.7 hoặc mới hơn và đảm bảo Starlette được cập nhật lên phiên bản 1.0.1 hoặc mới hơn. Việc áp dụng bản vá bảo mật kịp thời là cực kỳ quan trọng.
Các biện pháp phòng thủ tạm thời
Nếu việc vá lỗi không thể được áp dụng ngay lập tức, người phòng thủ nên:
- Triển khai các quy tắc tường lửa hoặc Web Application Firewall (WAF) để chặn các yêu cầu tới các điểm cuối kiểm tra MCP không cần thiết.
- Giám sát chặt chẽ và lọc các tiêu đề Host trong lưu lượng truy cập HTTP.
- Hạn chế quyền truy cập mạng vào máy chủ LiteLLM.
Ưu tiên Khẩn cấp
Do hoạt động khai thác đang diễn ra trong thực tế, việc vá lỗi nên được coi là một ưu tiên khẩn cấp cho bất kỳ tổ chức nào đang chạy triển khai LiteLLM tự lưu trữ. Cần hành động nhanh chóng để giảm thiểu rủi ro bảo mật.
Để biết thêm thông tin chi tiết và các bản cập nhật mới nhất về lỗ hổng này, vui lòng tham khảo NVD (National Vulnerability Database).
IOCs (Indicators of Compromise)
- CVEs exploited: CVE-2026-42271, CVE-2026-48710
- Affected Software: LiteLLM versions 1.74.2 – 1.83.6
- Affected Dependency: Starlette versions ≤ 1.0.0
- Attack Vector: Unauthenticated Remote Code Execution (RCE)
- Attack Impact: Full system compromise, data exfiltration, malware deployment
