LiteLLM Proxiesindeki Güvenlik Açıkları
LiteLLM, birçok model sağlayıcısına erişim sağlayan açık kaynaklı bir AI geçidi olarak geniş bir kullanıcı kitlesine sahiptir. Obsidian Security araştırmacıları, varsayılan düşük yetkili bir hesabın, üç ayrı güvenlik açığını birleştirerek tam yönetici haklarına ulaşabileceğini ortaya koydu.
Saldırı Nasıl Çalışıyor?
LiteLLM’deki bu güvenlik açıkları, aşağıdaki gibi sıralanan üç ana hatadan oluşmaktadır:
- CVE-2026-47101: Yetkilendirme atlatması. İç kullanıcı (internal_user) bir sanal API anahtarı ürettiğinde, LiteLLM, bu anahtarın erişebileceği rotaları kullanıcı rolüyle kontrol etmeksizin kaydediyor.
- CVE-2026-47102: Yetki yükseltme. /user/update uç noktası, kullanıcıların kendi kayıtlarını düzenlemesine izin veriyor ancak hangi alanların yazılabileceğini sınırlamıyor. Kullanıcı, “proxy_admin” rolü ile kendini tam yönetici olarak güncelleyebiliyor.
- CVE-2026-40217: Sandbox kaçışı. Yöneticiler tarafından sağlanan Python kodunu çalıştırma yetkisi, exec() fonksiyonu döngüsünden geçiriliyor ve bu işlemde güvenlik kontrolleri yok.
Etkilenen Sistemler
LiteLLM, birçok model sağlayıcısının anahtarlarını ve saklanan kimlik bilgilerini şifreleyen tuz anahtarını açığa çıkarmaktadır. Bu durum, saldırganın her bir belirlenmiş sağlayıcı anahtarını, örneğin OpenAI, Anthropic, Gemini gibi hizmetleri tehlikeye atmasına olanak tanır.
Ayrıca, geçidin kapalı bir alan olduğu için, geçen tüm veriler, yani talepler ve yanıtlar okunabilir hale gelmektedir. Gerçek uygulamalarda kişisel verilerin, kaynak kodlarının ve gizli anahtarların bu geçiden geçiyor olması büyük bir risk yaratmaktadır.
Çözüm ve Korunma
LiteLLM’yi güvenli hale getirmek için aşağıdaki adımların izlenmesi gerekmektedir:
- LiteLLM’yi v1.83.14-stable veya daha üst bir sürüme güncelleyin.
- Hedefinize ulaşabilecek tüm proxy_admin hesaplarını gözden geçirin ve bu rolü yüksek düzeyde erişim olarak değerlendirin.
- Her bir Custom Code Guardrail’ı kontrol edin.
- Yüklenmiş geri çağırmaları (callbacks) denetleyin. Bunlar, konsolda görünmediği için saldırganların gizlenebileceği noktalardır.
- İfşa riski varsa, sağlayıcı anahtarları, veritabanı kimlik bilgileri ve saklanan MCP token’larını değiştirmeyi düşünün.
Unutmayın ki, ele geçirilen bir proxy sadece veri sızdırmaz; aynı zamanda bir acente ile model arasındaki geçidi değiştirdiği için yanıtları da sahteleyebilir.
