Celah Kritis LiteLLM Bisa Bikin Server AI Dikuasai Tanpa Login, Skor CVSS Tembus 10.0

CLB.my.id - Sebuah celah keamanan pada LiteLLM, proxy open source yang dipakai ribuan perusahaan untuk mengelola permintaan ke berbagai model AI, kini sedang dieksploitasi secara aktif oleh kelompok peretas Qilin. Badan Keamanan Siber AS (CISA) memasukkan CVE-2026-42271 ke dalam Known Exploited Vulnerabilities (KEV) catalog pada 9 Juni 2026 setelah peneliti Horizon3.ai mengonfirmasi rantai eksploit yang bisa mengambil alih server sepenuhnya tanpa butuh kredensial apa pun.

LiteLLM berfungsi sebagai gerbang tengah (proxy) antara aplikasi dengan penyedia model bahasa besar seperti OpenAI, Anthropic, dan Mistral. Perangkat ini mengelola kunci API, mengatur batas permintaan, dan merutekan panggilan ke model yang tepat. Posisi strategis ini menjadikannya target empuk bagi peretas, karena sekali kompromi, semua kunci API yang tersimpan bisa terekspos sekaligus.

Lubang di Dua Endpoint yang Seharusnya Hanya untuk Pratinjau

Inti masalah terletak pada dua endpoint yang dirancang untuk mempratinjau konfigurasi Model Context Protocol (MCP) sebelum disimpan. Endpoint POST /mcp-rest/test/connection dan POST /mcp-rest/test/tools/list menerima konfigurasi server lengkap melalui body request, termasuk field command, args, dan env yang digunakan oleh transport stdio. Ketika dipanggil dengan konfigurasi stdio, endpoint ini langsung menjalankan perintah yang dikirim sebagai subprocess di host dengan hak akses penuh proses proxy.

Tidak ada validasi, tidak ada sandboxing. Pengguna dengan kunci API berprivilegi rendah sekalipun bisa mengirim request POST yang dirancang khusus untuk menjalankan perintah arbitrer di server. CVE-2026-42271 sendiri memiliki skor CVSS 8.7 (Tinggi) dan mempengaruhi LiteLLM versi 1.74.2 hingga 1.83.6.

Rantai Eksploit yang Mencapai Skor Sempurna

Yang membuat situasi semakin berbahaya adalah ketika CVE-2026-42271 digabungkan dengan CVE-2026-48710, sebuah kelemahan validasi host header di Starlette, framework ASGI yang menjadi dasar LiteLLM. Starlette versi 1.0.0 ke bawah tidak memvalidasi header Host dengan benar, memungkinkan peretas melewati lapisan autentikasi LiteLLM sepenuhnya tanpa kredensial apa pun.

Ketika dua celah ini dirangkai, skor gabungannya mencapai CVSS 10.0, skor kritis sempurna. Artinya, serangan bisa dilakukan tanpa login, tanpa kunci API, dan tanpa akses sebelumnya ke lingkungan target. Peneliti Horizon3.ai mengonfirmasi jalur eksploitasi ini pada 1 Juni 2026, dan dalam waktu kurang dari seminggu, CISA sudah memasukkannya ke daftar darurat.

Qilin Memanfaatkan untuk Meraih Kunci API

Daftar KEV CISA mengaitkan eksploitasi aktif ini dengan kelompok peretas Qilin, platform Ransomware-as-a-Service (RaaS) yang mengklaim lebih dari 1.000 korban sepanjang 2025. Motivasinya jelas: menargetkan gerbang AI memberikan akses langsung ke kunci API yang bisa digunakan untuk menjalankan model berbayar, sekaligus membuka jalur pergerakan lateral ke jaringan perusahaan.

Bagi organisasi yang merutekan beban kerja AI produksi melalui LiteLLM, setiap kunci API yang disimpan proxy berisiko terekspos, bersama dengan akses jaringan internal yang dimiliki proses proxy tersebut. Dampaknya bukan hanya kehilangan data, tetapi juga potensi penyalahgunaan infrastruktur AI untuk tujuan yang jauh lebih merusak.

Timeline yang Menunjukkan Kecepatan Ancaman

Kronologi kasus ini memberikan gambaran betapa cepat penyerang bergerak setelah patch tersedia. CVE-2026-42271 pertama kali diungkap pada 20 April 2026. Patch untuk LiteLLM dirilis pada 8 Mei 2026 dalam versi 1.83.7. Namun, lima minggu kemudian, serangan aktif sudah terkonfirmasi. CVE-2026-48710 diungkap pada 26 Mei 2026, dan pada 1 Juni, jalur rantai eksploitasi tanpa autentikasi berhasil dibuktikan oleh Horizon3.ai.

CISA memberikan batas waktu hingga 22 Juni 2026 bagi organisasi federal dan infrastruktur kritis untuk menerapkan mitigasi. Jika tidak bisa melakukan patch, CISA menyarankan untuk memblokir kedua endpoint yang rentan di level reverse proxy atau API gateway, atau menghentikan penggunaan produk sama sekali.

Langkah Mitigasi yang Perlu Segera Diambil

Untuk organisasi yang menggunakan LiteLLM, langkah pertama adalah memperbarui ke versi 1.83.7 atau lebih baru, sekaligus memperbarui Starlette ke versi 1.0.1 atau lebih baru. Verifikasi bahwa request POST ke endpoint /mcp-rest/test/ sudah tidak lagi menerima field command, args, atau env di body request.

Selain itu, audit log untuk menemukan proses anak yang tidak terduga yang dibuat oleh LiteLLM, seperti sh, bash, python, node, curl, wget, atau nc. Periksa juga koneksi keluar dari subprocess proxy ke tujuan yang tidak dikenal. Terakhir, rotasi semua kunci API dan rahasia yang tersimpan di proxy LiteLLM sebagai tindakan pencegahan.

Kasus ini menjadi pengingat bahwa infrastruktur AI kini merupakan bagian langsung dari permukaan serangan enterprise. Penyerang bergerak sangat cepat menargetkan gerbang, proxy, dan tooling AI karena akses bernilai tinggi yang bisa mereka berikan. Menginventarisasi dan mengamankan infrastruktur AI dengan rigor yang sama seperti sistem tradisional bukan lagi opsional, melainkan keharusan.***