Celah Kritis LiteLLM Bisa Dieksploitasi Tanpa Login, Infrastruktur AI Terancam

CLB.my.id - Peneliti dari Horizon3.ai mengonfirmasi bahwa pelaku ancaman aktif mengeksploitasi kerentanan rantai kritis di LiteLLM, proxy gateway AI open source yang populer. Eksploitasi ini memungkinkan remote code execution (RCE) tanpa autentikasi pada deployment yang rentan, dengan skor CVSS mencapai 10.0, skor keparahan maksimal.

LiteLLM digunakan secara luas untuk mengelola dan merutekan panggilan API ke model bahasa besar (LLM) dari penyedia seperti OpenAI, Anthropic, dan Azure. Ketika gateway ini dikompromikan, dampaknya bisa menjalar ke seluruh infrastruktur AI yang terhubung.

Dua Kerentanan yang Dirantai Jadi Satu Serangan

Inti ancaman ini adalah CVE-2026-42271, celah command injection di endpoint uji Model Context Protocol (MCP) server LiteLLM. Dua endpoint khususnya, POST /mcp-rest/test/connection dan POST /mcp-rest/test/tools/list, menerima konfigurasi server lengkap termasuk perintah, argumen, dan variabel lingkungan, lalu menjalankan input tersebut sebagai subproses di host.

Saat pertama kali diungkap pada 20 April 2026, kerentanan ini dianggap berdampak terbatas karena aksesnya membutuhkan kunci API proxy yang valid. Asumsi itu runtuh ketika peneliti Horizon3.ai merantainya dengan CVE-2026-48710, celah bypass validasi Host Header Starlette yang mempengaruhi Starlette versi 1.0.0 dan di bawahnya.

Dengan memanipulasi header HTTP Host untuk mengeksploitasi bypass autentikasi Starlette, penyerang bisa melewati persyaratan kunci API LiteLLM sepenuhnya. Hasilnya, perintah RCE dieksekusi dengan hak yang sama dengan proses proxy LiteLLM, tanpa login atau kunci API sama sekali.

Versi yang terdampak mencakup LiteLLM 1.74.2 hingga 1.83.6 pada deployment yang pohon dependensinya mencakup Starlette versi 1.0.0 ke bawah.

Dampak yang Luas bagi Ekosistem AI

Ketika eksploitasi rantai ini berhasil, penyerang mendapatkan akses yang signifikan ke infrastruktur AI. Mereka bisa menjalankan perintah sistem operasi sembarang di host LiteLLM, mencuri kunci API dan kredensial penyedia model yang disimpan proxy, mengakses rahasia dan variabel lingkungan dalam proses proxy, hingga bergerak lateral ke infrastruktur AI dan sistem hilir yang terhubung.

Mengingat LiteLLM banyak dipakai untuk merutekan dan mengelola panggilan API ke LLM, kompromi pada lapisan gateway bisa berdampak cascading ke rantai pasok AI secara lebih luas. Kredensial OpenAI, Anthropic, atau Azure yang tersimpan di proxy bisa dicuri dan disalahgunakan untuk mengakses layanan AI dengan akun korban.

Indikator Kompromi yang Perlu Dipantau

Tim keamanan disarankan memantau tanda-tanda aktivitas eksploitasi berikut. Yang pertama, eksekusi subproses tak terduga yang berasal dari proses LiteLLM. Kedua, permintaan HTTP yang menargetkan endpoint /mcp-rest/test/connection atau /mcp-rest/test/tools/list. Ketiga, nilai header Host yang tidak biasa atau salah format di log proxy. Keempat, peristiwa eksekusi perintah yang tidak sah di sistem host.

Langkah Mitigasi Segera

Organisasi harus segera meningkatkan LiteLLM ke versi 1.83.7 atau lebih baru dan memastikan Starlette diperbarui ke versi 1.0.1 atau lebih baru. Jika patching tidak bisa dilakukan segera, tim pertahanan sebaiknya memblokir akses eksternal ke endpoint uji MCP, membatasi akses jaringan proxy hanya ke segmen tepercaya, memutar semua kredensial dan kunci API yang disimpan proxy, serta meninjau log untuk nilai header Host yang anomali dan peristiwa subproses.

Mengingat eksploitasi aktif yang sudah terjadi di dunia nyata, patching harus diperlakukan sebagai prioritas darurat bagi organisasi yang menjalankan deployment LiteLLM self-hosted.

Pelajaran untuk Ekosistem AI di Indonesia

Kasus LiteLLM ini menunjukkan bahwa lapisan middleware dan proxy yang menghubungkan aplikasi dengan model AI juga bisa menjadi titik lemah yang dieksploitasi. Banyak startup dan perusahaan teknologi di Indonesia yang membangun infrastruktur AI dengan memanfaatkan gateway seperti LiteLLM untuk mengelola biaya dan merutekan permintaan ke berbagai penyedia model.

Ketika gateway tersebut dikompromikan, bukan hanya satu aplikasi yang terancam, melainkan seluruh sistem yang bergantung padanya. Kunci API dari berbagai penyedia layanan AI yang tersimpan di proxy menjadi target empuk bagi penyerang yang ingin bergerak lateral ke layanan cloud lebih luas.

Insiden ini juga menjadi pengingat bahwa keamanan rantai pasok perangkat lunak semakin kritis di era AI. Dependency seperti Starlette yang memiliki celah bisa membuka pintu masuk ke sistem yang jauh lebih besar. Pengembang disarankan untuk secara rutin memeriksa dan memperbarui semua dependensi, bukan hanya aplikasi inti mereka.

Bagi pengembang di Indonesia yang menggunakan LiteLLM sebagai gateway AI, ini adalah saat yang tepat untuk memeriksa versi deployment dan segera melakukan pembaruan sebelum menjadi korban berikutnya.***