Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), BerriAI LiteLLM üzerinde etkili olan yüksek şiddette bir zafiyetin bulunduğunu duyurdu. Bu zafiyetin aktif olarak istismar edildiği belirtilmiş olup, siber güvenlik alanında acil önlem gerektiren durumları içermektedir.
Saldırı Nasıl Çalışıyor?
İlgili zafiyet, CVE-2026-42271 (CVSS puanı: 8.7) kodu ile tanımlanan bir komut enjeksiyonu zafiyetidir; bu zafiyet, kimliği doğrulanmış herhangi bir kullanıcının hedef sistem üzerinde rastgele komutlar çalıştırmasına olanak tanımaktadır. Etkilenen LiteLLM Python paketinin versiyonu aşağıdaki gibidir:
– 1.83.6 ve öncesi
Zafiyet, bir MCP sunucusunu kaydetmeden önce önizlemek için kullanılan iki uç noktadaki HTTP POST istekleri aracılığıyla tetiklenmektedir:
– POST /mcp-rest/test/connection
– POST /mcp-rest/test/tools/list
Bu uç noktalar, almak istedikleri tam sunucu konfigürasyonunu (komut, argümanlar ve çevre değişkenleri) istem gövdesinde kabul etmektedir. Uç noktalar, standart girdi/çıktı (stdio) yapılandırması kullanılarak çağrıldığında, tedarik edilen komutları hedef sistem üzerindeki bir yan süreç olarak çalıştırmaktadır.
Etkilenen Sistemler
BerriAI’nin açık kaynaklı AI geçidi ve Python SDK’sının geliştirme ekibi, bu uç noktaların yalnızca geçerli bir proxy API anahtarı ile korunduğunu açıklamıştır. Bu nedenle, kimliği doğrulanmış herhangi bir kullanıcı, hatta ayrıcalıklı iç kullanıcı anahtarları ile bile savunmasız bir sistem üzerinde rastgele komutlar çalıştırabilmektedir.
Çözüm ve Korunma
Versiyon 1.83.7’de yayımlanan yamanın bir parçası olarak, her iki test uç noktası artık PROXY_ADMIN rolünü gerektiriyor, bu da kaydetme uç noktası ile tutarlılık sağlıyor.
Geçen hafta Horizon3.ai, CVE-2026-42271 zafiyetini CVE-2026-48710 (CVSS puanı: 6.5) ile birleştirerek, kimlik doğrulama mekanizmasını tamamen atlayarak uzaktan kod yürütmenin sağlandığını bildirmiştir. Bu birleşik zafiyetin toplam CVSS puanı 10.0 olarak değerlendirilmiştir, bu da onu kritik hale getirmektedir.
Karmaşık bir şekilde istismar edilen bu zafiyetler sayesinde saldırganlar, LiteLLM sunucusunda rastgele komutları çalıştırabilir, model sağlayıcı kimlik bilgilerine erişebilir ve diğer sistemlere sızabilirler.
Alınması Gereken Aksiyonlar
Kullanıcılara, LiteLLM’yi en az 1.83.7 versiyonuna ve Starlette’yi 1.0.1 veya daha yeni bir sürüme güncellemeleri şiddetle önerilmektedir. Hızlı bir yamanın uygulanması mümkün değilse, aşağıdaki önlemler alınmalıdır:
- POST /mcp-rest/test/connection ve POST /mcp-rest/test/tools/list isteğini ters proxy veya API geçidi üzerinde engelleyin.
- Ağ erişimini güvenilir segmentlerle sınırlayın.
- Proxy tarafından saklanan kimlik bilgilerini yenileyin.
- Logs (kayıt dosyaları) üzerinden olağandışı Host başlık etkinliklerini ve yan süreç yürütme olaylarını inceleyin.
Bu zafiyet, LiteLLM’de sadece 36 saat içinde aktif istismar konusu olan kritik bir SQL enjeksiyonu zafiyeti ile aynı dönemde ortaya çıkmıştır (CVE-2026-42208, CVSS puanı: 9.3). Kullanıcıların dikkatli olmaları ve gerekli önlemleri almaları büyük önem taşımaktadır.
