LiteLLM sotto attacco: hackers sfruttano una falla SQL per rubare le credenziali AI

Una vulnerabilità critica nel gateway open-source LiteLLM consente agli attaccanti di accedere senza autenticazione alle credenziali di OpenAI, Anthropic e altri servizi AI. Gli exploit sono già in corso.

LiteLLM sotto attacco: hackers sfruttano una falla SQL per rubare le credenziali AI

A meno di 36 ore dalla divulgazione pubblica, i criminali informatici hanno iniziato a sfruttare attivamente una vulnerabilità critica nel gateway LiteLLM, il middleware open-source che decine di migliaia di organizzazioni usano per gestire l'accesso centralizzato ai modelli di intelligenza artificiale. La falla, tracciata come CVE-2026-42208, è una SQL injection pre-autenticazione che consente a chiunque abbia accesso di rete al proxy di estrarre dati sensibili dal database senza inserire alcuna password.

Secondo i ricercatori di Sysdig, una società specializzata in sicurezza cloud, il primo tentativo di sfruttamento è stato rilevato il 26 aprile alle 04:24 UTC, appena 36 ore e 7 minuti dopo che l'avviso di sicurezza è stato indicizzato nel database globale di GitHub. Questo tempismo non è casuale: gli attaccanti conoscevano già i dettagli tecnici della vulnerabilità e sapevano esattamente quali tabelle del database colpire per recuperare le credenziali di produzione.

Chi è LiteLLM e perché è importante

LiteLLM è un progetto open-source che funge da "centralina telefonica" per i modelli di intelligenza artificiale. Invece di integrare direttamente OpenAI, Anthropic, AWS Bedrock e altri servizi AI nelle proprie applicazioni, gli sviluppatori usano LiteLLM come intermediario: una singola API unificata che traduce le richieste verso qualsiasi provider. Il progetto conta 45mila stelle su GitHub e 7.600 fork, il che lo rende una dipendenza critica in migliaia di applicazioni AI in produzione.

La popolarità di LiteLLM lo rende un bersaglio attraente per i criminali informatici. Nel database del proxy risiedono le chiavi API virtuali, le credenziali dei provider (OpenAI, Anthropic, Bedrock), e l'intera configurazione di runtime dell'ambiente. In altre parole: accedere al database di LiteLLM significa ottenere le "chiavi maestre" verso ogni servizio AI a cui un'organizzazione è connessa.

Cosa è successo: la vulnerabilità e gli attacchi

La falla risiede nel modo in cui LiteLLM verifica l'autenticazione durante la fase di proxy. Quando un client invia una richiesta HTTP con un header Authorization: Bearer [token], il proxy dovrebbe controllare se il token è valido interrogando il database. Invece di usare query parametrizzate (il metodo sicuro), LiteLLM concatenava direttamente il valore del Bearer token dentro la query SQL. Questo è un errore di programmazione elementare, ma devastante: un attaccante può inviare un header come Authorization: Bearer ' OR 1=1 -- e bypassare completamente il controllo di autenticazione.

La vulnerabilità colpisce LiteLLM versioni da 1.81.16 a 1.83.6. Una patch è stata rilasciata nella versione 1.83.7, che sostituisce la concatenazione di stringhe con query parametrizzate.

Secondo il rapporto di Sysdig, gli attaccanti hanno lanciato 29 payload di SQL injection di tipo UNION, tutti indirizzati a tre tabelle specifiche: LiteLLM_VerificationToken, litellm_credentials e litellm_config. Questa precisione è significativa: gli attaccanti non hanno fatto scansioni generiche, non hanno provato tabelle casuali. Conoscevano le convenzioni di naming di Prisma ORM (l'ORM usato da LiteLLM), inclusa la particolarità PascalCase che gli scanner automatici spesso non catturano. Hanno colpito dritto alle tabelle che contengono i segreti.

Due indirizzi IP, entrambi nello stesso autonomous system tedesco (AS200373, 3xK Tech GmbH), hanno coordinato gli attacchi. Il secondo IP ha ruotato circa 20 minuti dopo il primo e ha replicato gli stessi payload, sondando anche gli endpoint di gestione delle chiavi. L'ultimo tentativo — un banale OR 1=1-- — suggerisce che l'attaccante stesse esaurendo la lista completa di payload di un'automazione.

Perché è importante

Questa vulnerabilità rappresenta un rischio sistemico per l'ecosistema AI. LiteLLM non è una piccola libreria: è un componente critico in migliaia di pipeline di produzione. Se un attaccante compromette il database di LiteLLM in un'azienda, ottiene accesso non solo alle credenziali di OpenAI e Anthropic, ma anche ai token di AWS Bedrock, alle chiavi di configurazione e potenzialmente ai dati di tutti i modelli AI a cui l'organizzazione è connessa.

Questo apre la porta a ulteriori attacchi a catena. Con le credenziali rubate, un criminale può:

Eseguire query ai modelli AI a spese dell'organizzazione (attacchi economici).
Accedere ai dati che transitano attraverso il proxy.
Usare le credenziali come punto di partenza per penetrare altri sistemi aziendali.

Il fatto che l'exploit sia iniziato così rapidamente (36 ore) indica che i dettagli tecnici della vulnerabilità erano già noti a gruppi di attaccanti organizzati. Non è un attacco casuale di script kiddie, ma operazioni mirate da soggetti che monitorano attivamente i nuovi CVE.

C'è un precedente preoccupante: LiteLLM è stata vittima di un attacco alla supply chain pochi mesi fa, quando il gruppo TeamPCP ha rilasciato pacchetti PyPI malevoli che distribuivano uno stealer di credenziali. Questa nuova vulnerabilità dimostra che il progetto rimane un bersaglio di alto valore.

Cosa aspettarsi

Le organizzazioni che usano LiteLLM dovrebbero aggiornare immediatamente alla versione 1.83.7 o successiva. Non è un aggiornamento opzionale: la vulnerabilità è critica, pre-autenticazione, e gli exploit sono già in corso.

Seconde indicazioni da monitorare:

Log di accesso: controllare i log del proxy per richieste sospette con header Authorization malformati, soprattutto payload UNION-based SQL injection.
Accesso ai dati: verificare se le credenziali di OpenAI, Anthropic o Bedrock sono state usate in modo anomalo (query inaspettate, consumo di token inusuale).
Comunicazioni dai provider: OpenAI, Anthropic e AWS potrebbero inviare avvisi se rilevano attività sospette su account connessi tramite LiteLLM.

I maintainer di LiteLLM hanno già rilasciato la patch e aggiornato l'advisory di sicurezza. La comunità open-source dipende dalla velocità con cui gli utenti applicano questi fix. Nel frattempo, i ricercatori di Sysdig continueranno a monitorare l'attività di exploit per identificare quali organizzazioni sono state compromesse.

Questa vulnerabilità è un promemoria che anche i progetti open-source critici possono contenere errori di sicurezza elementari. La concatenazione di stringhe nelle query SQL è una pratica sconsigliata da decenni, eppure continua a comparire in codice di produzione. Per chi sviluppa applicazioni AI, il messaggio è chiaro: non è sufficiente usare librerie popolari; è necessario mantenere consapevolezza delle loro vulnerabilità e applicare patch tempestivamente.