237/69 (IT) ประจำวันพฤหัสบดีที่ 30 เมษายน 2569
พบการใช้ประโยชน์จากช่องโหว่ CVE-2026-42208 ใน LiteLLM ซึ่งเป็นโอเพนซอร์สเกตเวย์สำหรับโมเดลภาษาขนาดใหญ่ (LLM) เป็นช่องโหว่ SQL injection แบบไม่ต้องยืนยันตัวตนก่อนและเกิดขึ้นในขั้นตอนการตรวจสอบ proxy API key โดยผู้โจมตีสามารถส่ง Authorization header ที่ถูกสร้างขึ้นเป็นพิเศษไปยังเส้นทาง API ของ LiteLLM เพื่อเข้าถึงฐานข้อมูลได้
รายงานจาก Sysdig ระบุว่าพบความพยายามโจมตีภายในประมาณ 36 ชั่วโมง หลังช่องโหว่ถูกเผยแพร่ในฐานข้อมูล advisory สาธารณะ โดยผู้โจมตีส่งคำขอไปยัง /chat/completions เพื่อสำรวจโครงสร้างและมุ่งเป้าไปยังตารางที่เก็บข้อมูลสำคัญ เช่น virtual API keys, provider credentials และ environment-variable configuration พฤติกรรมดังกล่าวสะท้อนว่าผู้โจมตีมีความเข้าใจโครงสร้างฐานข้อมูลของ LiteLLM และมุ่งเป้าไปยังข้อมูลลับโดยตรง แม้รายงานจะยังไม่พบหลักฐานยืนยันว่าคีย์ที่อาจถูกเข้าถึงได้ถูกนำไปใช้งานต่อ หรือการยืนยันว่าระบบถูก compromise สำเร็จ
LiteLLM ได้แก้ไขช่องโหว่แล้วในเวอร์ชัน 1.83.7 โดยเวอร์ชันที่ได้รับผลกระทบคือ ตั้งแต่ 1.81.16 ถึงก่อน 1.83.7 องค์กรที่ใช้งาน LiteLLM ควรเร่งอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็ว และตรวจสอบ log ย้อนหลังเพื่อหาคำขอที่ผิดปกติ โดยเฉพาะคำขอที่มี Authorization header ในลักษณะต้องสงสัย หากระบบเปิดสู่สาธารณะและเคยใช้งานเวอร์ชันที่ได้รับผลกระทบ ควรพิจารณาเปลี่ยนคีย์และข้อมูลรับรองที่เกี่ยวข้องทั้งหมดเพื่อลดความเสี่ยงเพิ่มเติม