技術的な説明
LiteLLM は、LLM API呼び出し用の広く使用されているプロキシサーバーおよびAIゲートウェイであり、プロキシのAPI キー検証ロジックにおける SQL インジェクションの脆弱性を持っています。この脆弱性は、呼び出し元が供給する Authorization ヘッダー値がパラメータ化された値として渡されるのではなく、テキストとしてデータベースクエリに混入され、この脆弱なクエリがプロキシのエラーハンドリングパスを通じてアクセス可能であることが原因です。
攻撃経路
認証なし。攻撃者は悪意のある Authorization ヘッダーを作成し、POST /chat/completions などの LiteLLM プロキシで公開されているあらゆる LLM API ルートに送信します。形式が正しくないヘッダーは、攻撃者の入力を組み込んだ脆弱な SQL クエリを実行するエラーハンドリングパスをトリガーします。悪用に成功すると、プロキシのデータベースからの読み取り、および潜在的な変更が可能になります。これには、ゲートウェイで管理される認証情報、API キー、ルーティング構成、および使用ログが含まれます。
影響を受けるシステム
LiteLLM バージョン 1.81.16 から 1.83.7 より前のすべてのバージョン。LiteLLM がエージェント、モデル、ツール、およびエンタープライズ認証情報間の中央ゲートウェイとして機能するエージェント展開で特に重大です。
緩和策
LiteLLM バージョン 1.83.7 に直ちにアップグレードしてください。侵害の可能性がある場合は、すべてのプロキシ API キーとダウンストリーム LLM プロバイダー認証情報をローテーションしてください。最小権限データベースロールを適用し、テナントデータを分離し、クエリログを有効にし、認可失敗の試みを監視することで、AI ゲートウェイインフラストラクチャを強化してください。AI ゲートウェイを特権インフラストラクチャとして扱い、外部攻撃対象領域管理と異常検出に含めてください。