Celah Kritis LiteLLM Bisa Bobol Server AI Tanpa Autentikasi, CVSS 8.8
Celah Kritis LiteLLM Bisa Bobol Server AI Tanpa Autentikasi, CVSS 8.8
CLB.my.id - Para pengguna LiteLLM, proxy server populer yang berfungsi sebagai AI Gateway untuk memanggil lebih dari 100 API model bahasa besar (LLM), perlu waspada. Ditemukan celah keamanan kritis bernomor CVE-2026-42271 yang memungkinkan eksekusi kode jarak jauh (remote code execution) oleh penyerang yang sudah terotentikasi dengan hak akses rendah.
Yang membuat situasi semakin serius, peneliti keamanan dari Horizon3.ai berhasil membuktikan bahwa celah ini bisa dikombinasikan dengan kerentanan lain bernomor CVE-2026-48710 untuk menghilangkan sama sekali kebutuhan autentikasi. Hasilnya? Eksekusi kode jarak jauh tanpa kredensial apa pun terhadap deployment LiteLLM yang rentan.
Bagaimana Celah Ini Bekerja
LiteLLM memiliki dua endpoint yang digunakan untuk mempratinjau server MCP (Model Context Protocol) sebelum menyimpannya, yakni POST /mcp-rest/test/connection dan POST /mcp-rest/test/tools/list. Kedua endpoint ini menerima konfigurasi server lengkap dalam body request, termasuk field command, args, dan env yang digunakan oleh transport stdio.
Ketika dipanggil dengan konfigurasi stdio, endpoint tersebut mencoba melakukan koneksi dan menjalankan perintah yang dikirim sebagai subprocess di host proxy dengan hak akses proses proxy itu sendiri. Masalahnya, endpoint ini hanya dilindungi oleh API key proxy yang valid, tanpa pemeriksaan peran atau hak akses sama sekali.
Ini berarti siapa pun yang memiliki API key internal-user dengan hak akses rendah sekalipun bisa menjalankan perintah sembarangan di host server. Cukup dengan satu POST request sederhana, penyerang bisa mendapatkan shell pada server proxy.
Dampak yang Bisa Sangat Luas
Server proxy LiteLLM biasanya menyimpan API key untuk semua penyedia LLM yang dikonfigurasi, mulai dari OpenAI, Anthropic, Azure, hingga Google Vertex AI. Ketika seorang penyerang berhasil mendapatkan akses ke host proxy, mereka bisa membaca variabel lingkungan dan file konfigurasi untuk mengambil semua kredensial tersebut.
Dengan semua API key LLM di tangan, penyerang bisa meniru seluruh infrastraksi AI korban, mengakses log request dan response yang mungkin berisi data sensitif, serta bergerak secara lateral ke layanan internal yang dapat dijangkau dari jaringan proxy.
CVE-2026-42271 mendapat skor CVSS v3.1 sebesar 8.8 (Tinggi), yang mencerminkan kompleksitas rendah dan kebutuhan hak akses minimal untuk mengeksploitasi kerentanan ini.
Rantai Eksploitasi Tanpa Autentikasi
Horizon3.ai menemukan bahwa ketika CVE-2026-42271 digabungkan dengan CVE-2026-48710, sebuah kerentanan bypass validasi Host Header pada framework Starlette, persyaratan autentikasi bisa dihilangkan sepenuhnya. CVE-2026-48710 memungkinkan penyerang melewati mekanisme autentikasi LiteLLM pada deployment yang pohon dependensinya mencakup Starlette versi 1.0.0 ke bawah.
Rantai eksploitasi yang terbukti oleh Horizon3.ai dimulai dari penyerang yang mendapatkan API key LiteLLM internal-user yang valid, entah melalui kebocoran repositori kode, ancaman internal, atau pencurian kredensial dari workstation pengembang. Penyerang kemudian mengirim satu POST ke /mcp-rest/test/connection dengan body JSON yang dirancang khusus untuk transport stdio dan perintah operasi sistem berbahaya.
Server proxy LiteLLM menjalankan perintah tersebut sebagai subprocess, memberikan penyerang eksekusi kode sembarangan pada host. Penyerang kemudian membaca variabel lingkungan dan file konfigurasi untuk mengumpulkan semua API key penyedia LLM, memungkinkan pemalsuan penuh terhadap infrastruktur AI korban.
Siapa yang Terdampak?
Kerentanan ini mempengaruhi LiteLLM versi 1.74.2 hingga 1.83.6. Deployment yang menggunakan Starlette versi 1.0.0 ke bawah dalam pohon dependensinya berisiko mengalami eksploitasi tanpa autentikasi.
Arsitektur yang terdampak mencakup deployment AI gateway atau LLM proxy, infrastruktur routing API LLM multi-tenant, framework agen yang menggunakan LiteLLM sebagai router backend, platform manajemen API AI perusahaan, serta integrasi server MCP.
LiteLLM sendiri memiliki 18 CVE dalam sejarahnya dan skor OpenSSF hanya 6,2 dari 10, yang mengindikasikan masalah keamanan struktural yang perlu diperhatikan oleh penggunanya.
Langkah Mitigasi yang Harus Segera Diambil
Tim LiteLLM sudah merilis perbaikan di versi 1.83.7. Bagi organisasi yang belum bisa melakukan upgrade segera, ada beberapa langkah darurat yang bisa dilakukan.
Pertama, blokir endpoint POST /mcp-rest/test/connection dan POST /mcp-rest/test/tools/list di lapisan WAF atau reverse proxy. Kedua, audit semua pemegang API key dan cabut kunci yang diberikan kepada pihak tidak tepercaya atau eksternal. Ketiga, rotasi semua API key penyedia LLM yang dikonfigurasi di proxy sebagai tindakan pencegahan jika eksploitasi sebelumnya tidak dapat dikesampingkan.
Selain itu, periksa log proxy untuk request POST ke endpoint /mcp-rest/test/ yang mengandung field command, args, atau env dalam body request. Perkuat juga proses proxy agar berjalan sebagai pengguna non-root dengan sistem file terbatas dan kontrol jaringan keluar untuk membatasi dampak pasca-eksploitasi.
Bagi pengembang dan tim DevOps di Indonesia yang menggunakan LiteLLM sebagai AI gateway, ini adalah peringatan serius untuk segera memeriksa versi yang digunakan dan melakukan patching. Keamanan infrastruktur AI bukan lagi hal yang bisa ditunda.***
