ช่องโหว่ SQL injection ระดับ Critical ที่เกิดขึ้นก่อนการยืนยันตัวตนใน LiteLLM ซึ่งเป็น Open-source AI Gateway ยอดนิยมที่มียอดดาวน์โหลด และได้รับดาวบน GitHub มากกว่า 22,000 ดวง กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย
ช่องโหว่ระดับ Critical นี้ มีหมายเลข CVE-2026-42208 ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถดึงข้อมูล credentials ของระบบคลาวด์ และผู้ให้บริการ AI ที่มีความสำคัญสูงได้โดยตรงจากฐานข้อมูล PostgreSQL ของแพลตฟอร์ม
โดย LiteLLM ทำหน้าที่เป็น Proxy ส่วนกลางสำหรับโมเดลภาษาต่าง ๆ เช่น OpenAI, Anthropic และ AWS Bedrock
เนื่องจากแอปพลิเคชันนี้ทำหน้าที่จัดการกำหนดเส้นทาง AI และการเรียกเก็บค่าบริการ จึงมีการจัดเก็บข้อมูล secrets ที่มีมูลค่าสูง ซึ่งรวมถึง Master API keys และข้อมูล cloud credentials ขององค์กร
การโจมตีที่รวดเร็ว และการขโมยข้อมูลแบบเจาะจงเป้าหมาย
ขอบเขตความเสียหายของการโจมตีที่สำเร็จ มีความรุนแรงเทียบเท่ากับการถูกเจาะบัญชีคลาวด์ขนาดใหญ่ มากกว่าที่จะเป็นการโจมตีเว็บแอปพลิเคชันทั่วไป
ช่องโหว่นี้อยู่ในกระบวนการตรวจสอบความถูกต้องของ Proxy โดยเฉพาะอย่างยิ่งใน LiteLLM ที่ไม่สามารถปกป้อง Authorization Bearer header ได้อย่างปลอดภัย
ด้วยการแทรกเครื่องหมายอัญประกาศ (single quote) ลงใน token ปลอม เช่น sk-litellm' ผู้โจมตีสามารถ break out ออกจากคำสั่งค้นหาที่ตั้งไว้ และเรียกใช้ database commands ที่เป็นอันตรายก่อนที่จะมีการยืนยันตัวตนเกิดขึ้น
HTTP client ใดก็ตามที่สามารถเข้าถึง Proxy port ได้ ก็สามารถโจมตีช่องโหว่นี้ได้
ทีมวิจัยภัยคุกคามของ Sysdig ตรวจพบความพยายามในการโจมตีครั้งแรกเพียง 36 ชั่วโมงกับอีก 7 นาที หลังจากที่ช่องโหว่นี้ถูกบันทึกไว้ในฐานข้อมูลของ GitHub Advisory เมื่อวันที่ 24 เมษายน 2026
แทนที่จะใช้เครื่องมือสแกนหาช่องโหว่แบบอัตโนมัติให้เสียเวลา ผู้โจมตีกลับแสดงให้เห็นถึงความรู้เชิงลึกเกี่ยวกับโครงสร้างภายในของ LiteLLM เป็นอย่างดี
ผู้โจมตีได้ทำการโจมตีแบบเจาะจงไปยัง 3 tables ได้แก่ LiteLLM_VerificationToken, litellm_credentials และ litellm_config
Tables เหล่านี้ใช้สำหรับจัดเก็บข้อมูลที่สำคัญที่สุดของระบบ รวมถึง Virtual API keys, ข้อมูล credentials ของผู้ให้บริการที่บันทึกไว้ และ environment configurations
ผู้โจมตียังมีการปรับเปลี่ยน Payloads ให้ตรงกับรูปแบบตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ database schema อย่างแม่นยำ
กิจกรรมที่มีเป้าหมายระดับสูงนี้มีต้นทางมาจาก 2 IP addresses (65[.]111[.]27[.]132 และ 65[.]111[.]25[.]67) ภายใต้ระบบเครือข่ายอัตโนมัติเดียวกัน ซึ่งแสดงให้เห็นถึงความพยายามในการดึงข้อมูลอย่างเป็นระบบ และจงใจ
การแก้ไขช่องโหว่ และการเปลี่ยนข้อมูล Credentials ทันที
ผู้ดูแลระบบ LiteLLM ได้ปล่อยเวอร์ชัน 1.83.7 ซึ่งแก้ไขช่องโหว่โดยการรักษาความปลอดภัยการ queries ฐานข้อมูลอย่างเหมาะสม
องค์กรที่ใช้งานเวอร์ชันที่ได้รับผลกระทบ (ตั้งแต่เวอร์ชัน 1.81.16 ถึง 1.83.6) จำเป็นต้องติดตั้งการอัปเดตนี้โดยทันที
เนื่องจากตัวการโจมตีนี้ไม่จำเป็นต้องล็อกอิน และสามารถดำเนินการกับอินสแตนซ์ใดก็ได้ที่เชื่อมต่อกับอินเทอร์เน็ต ผู้ดูแลระบบควรสันนิษฐานว่าเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่นั้นได้ถูกบุกรุกไปแล้ว
ทีมรักษาความปลอดภัยต้องดำเนินการเปลี่ยน Virtual API keys, Master keys, และข้อมูล Credentials ของผู้ให้บริการที่จัดเก็บไว้ทั้งหมดในทันที
นอกจากนี้ บริษัทต่าง ๆ ควรเฝ้าติดตามบัญชีการเรียกเก็บค่าบริการบนระบบคลาวด์ต้นทางอย่างใกล้ชิด เพื่อตรวจหาการเรียกใช้ API ที่ไม่คาดคิด หรือการใช้ AI Token โดยไม่ได้รับอนุญาต
ทีมรักษาความปลอดภัยควรตรวจสอบ logs ของเว็บเซิร์ฟเวอร์เพื่อหา request ที่น่าสงสัย ซึ่งอาจมี SQL keywords หรือชุดคำสั่ง sk-litellm’ ปนอยู่ด้วย
เนื่องจาก AI Gateway ได้กลายมาเป็นแหล่งจัดเก็บหลักสำหรับข้อมูล Credentials ของระบบคลาวด์ที่มีมูลค่าสูง ระบบเหล่านี้จึงต้องได้รับการจัดการ และปกป้องในฐานะเป้าหมายด้านความปลอดภัยระดับสูงสุด
การปกป้องสภาพแวดล้อมของ Proxy เหล่านี้ให้อยู่ภายใต้เครือข่ายภายใน และการจัดการอัปเดตแพตช์อย่างเข้มงวด ถือเป็นขั้นตอนสำคัญในการป้องกันการขโมยข้อมูล Credentials ขององค์กรที่อาจสร้างความเสียหายอย่างมหาศาลได้
ที่มา : cybersecuritynews
You must be logged in to post a comment.