Se ha emitido una alerta de seguridad de máxima prioridad tras confirmarse la explotación activa de una vulnerabilidad crítica de Inyección SQL (SQLi) en LiteLLM CVE-2026-42208, una de las pasarelas y enrutadores (Proxy) más populares para la gestión de llamadas a múltiples APIs de Modelos de Lenguaje Grande (LLMs). Esta falla compromete directamente el componente de gestión y base de datos de la herramienta, permitiendo a actores de amenazas acceder a tokens de autenticación, extraer claves API de proveedores de IA y manipular los controles de facturación de las organizaciones.
Anatomía del Ataque
De acuerdo con el perfilamiento de vulnerabilidades en intermediarios de IA, el ataque se centra en los endpoints de administración del proxy:
- Arquitectura del Objetivo: LiteLLM Proxy utiliza bases de datos relacionales (frecuentemente PostgreSQL) para rastrear métricas de uso, gestionar presupuestos (spend tracking), establecer límites de tasa (rate limits) y almacenar de forma centralizada las claves API de proveedores como OpenAI, Anthropic, Google Gemini, entre otros.
- Falla de Sanitización: La vulnerabilidad surge por una validación y sanitización inadecuada de las entradas proporcionadas por el usuario en ciertos endpoints de la API o en la interfaz de administración.
- Inyección y Ejecución: Un atacante, enviando peticiones HTTP con cargas útiles (payloads) SQL específicamente diseñadas dentro de los parámetros vulnerables, logra evadir la lógica de la aplicación. Esto permite que la base de datos ejecute comandos arbitrarios bajo el contexto de la aplicación LiteLLM.
Impacto (Abuso Financiero y de Infraestructura)
El compromiso de un proxy de LLMs genera riesgos únicos relacionados con el consumo de recursos de inteligencia artificial:
- Exfiltración de ‘Joyas de la Corona’ (API Keys): El atacante puede extraer las claves maestras de los proveedores de IA. Al obtener estas llaves, pueden revenderlas en foros clandestinos o utilizarlas para sus propias operaciones, generando cargos financieros masivos para la organización víctima.
- Evasión de Cuotas (Bypass de Billing): Modificando directamente las tablas de la base de datos, el actor malicioso puede alterar sus propios límites de gasto, asignarse presupuestos infinitos o borrar sus registros de consumo.
- Envenenamiento de Modelos y Redirección: Capacidad de alterar las configuraciones de enrutamiento para redirigir las peticiones legítimas de los desarrolladores hacia modelos comprometidos o servidores controlados por el atacante, facilitando la fuga de los prompts y datos corporativos sensibles ingresados por los usuarios de la empresa.
Recomendaciones y Mitigación
Los equipos de DevSecOps y administradores de infraestructura de IA deben proceder con las siguientes acciones de contención:
- Parcheo Crítico Inmediato: Actualizar inmediatamente la instancia de LiteLLM a la versión más reciente que aborda la vulnerabilidad. Dado que hay explotación activa, los servidores expuestos a Internet sin Web Application Firewall (WAF) son objetivos inminentes.
- Rotación Masiva de Secretos de IA: Si existe la más mínima sospecha o confirmación de exposición de la base de datos de LiteLLM, se debe asumir que todas las claves API (OpenAI, Anthropic, Cohere, etc.) han sido comprometidas. Es obligatorio revocarlas directamente desde los portales de los proveedores y generar nuevas claves.
- Auditoría de Base de Datos y Logs: Revisar los registros de transacciones de la base de datos subyacente en busca de consultas anómalas (patrones clásicos de inyección como UNION SELECT, pausas condicionales pg_sleep, etc.) o la creación de usuarios administrativos no reconocidos en el portal de LiteLLM.
- Endurecimiento (Hardening) de Base de Datos: Asegurar que el usuario de servicio de la base de datos que utiliza LiteLLM opere bajo el principio de menor privilegio, sin capacidad de acceder a esquemas del sistema o ejecutar funciones a nivel de sistema operativo.
