Bakın, bu senaryo artık bayatladı. Yıllardır siber güvenlik dünyası, sıfır gün açıklarının gölgede aylarca, hatta bazen yıllarca kalmasını ve sonra ortaya çıkmasını beklerdi. Açıklamanın ve istismarın arasında dikkatli bir dans olurdu. Ancak CVE-2026-42208 ile bu dans, panik dolu bir koşuya dönüştü. Açık kaynak yapay zeka altyapısının gözdesi BerriAI’nin LiteLLM‘i resmen çökertildi ve saldırganlar sabır göstermeye bile tenezzül etmemiş.
Bu internetin ücra bir köşesi değil. LiteLLM, GitHub’da tam 45.000 yıldızla övünüyor. Geliştiricilerin OpenAI ve Anthropic gibi büyük LLM sağlayıcıları için hassas API anahtarlarını ve yapılandırmalarını yönetmek üzere güvendiği türden bir proje. Dolayısıyla, CVSS ölçeğinde 9.3 olarak derecelendirilmiş kritik bir SQL enjeksiyonu açığı çıktığında, biraz soluklanılacağını, bir duraklama olacağını düşünürsünüz. Yanıldınız. Otuz altı saat. Tehdit aktörlerinin açığa çıkarılan bir zafiyeti canlı bir istismara dönüştürmeleri için gereken süre bu kadar.
Açığın kendisi, geriye dönüp bakıldığında neredeyse gülünç derecede basit. Bakımcılar bunu gayet net ifade etmişler: “Proxy API anahtarı kontrolleri sırasında kullanılan bir veritabanı sorgusu, sorgu metnini ayrı bir parametre olarak geçirmek yerine, arayan tarafından sağlanan anahtar değerini karıştırıyordu.” Yani ne demek bu? Belirli şekilde hazırlanmış bir ‘Authorization’ başlığı gönderebilirseniz, LiteLLM proxy’sinin veritabanı sorgularına kötü amaçlı SQL komutlarını kaydırabilirsiniz.
Kimliği doğrulanmamış bir saldırgan, herhangi bir LLM API rotasına (örneğin, POST /chat/completions) özel olarak hazırlanmış bir ‘Authorization’ başlığı gönderebilir ve proxy’nin hata işleme yoluyla bu sorguya ulaşabilirdi. Bir saldırgan, proxy’nin veritabanından veri okuyabilir ve potansiyel olarak onu değiştirebilir, bu da proxy’ye ve yönettiği kimlik bilgilerine yetkisiz erişime yol açabilirdi.
Ve bu saldırganlar neyin peşindeydi? Kullanıcı tablolarının değil. litellm_credentials.credential_values ve litellm_config‘i hedef almışlar. Bunlar rastgele veritabanı girdileri değil; OpenAI ve Anthropic gibi LLM sağlayıcılarının anahtarlarını tutan hazineler. Üstelik bu anahtarların çoğu, beş haneli aylık harcama limitlerine, konsollar için yönetici haklarına ve hatta AWS Bedrock IAM kimlik bilgilerine sahip. Sysdig, detay odaklı kalpleriyle, başarılı bir veritabanı çıkarımının tipik bir web uygulaması SQL enjeksiyonundan çok, tam teşekküllü bir bulut hesabı ele geçirmesine benzediğini belirtmiş. Biz burada ön kapıdan ziyade krallığın anahtarlarından bahsediyoruz.
Gerçekten ürpertici olan şey, gözlemlenen operasyonel karmaşıklık. Sysdig, saldırganın sadece rastgele etrafta dolaşmadığını kaydetmiş. Tablo ve sütun adlarını sayıyorlarmış, bu da halka açık bir ‘Proof-of-Concept’ (PoC) yayınlama ihtiyacını ortadan kaldıran, saldırı öncesi keşif düzeyini gösteriyor. Tavsiye, açık kaynak şemasıyla birlikte, onlara saldırılarını hazırlamaları için yeterli istihbaratı sağlamış gibi görünüyor. Bu kaba kuvvet değil, cerrahi bir operasyon.
Ve bu, LiteLLM’in kötü adamlarla ilk karşılaştığı durum değil. Sadece geçen ay, TeamPCP hack grubu tarafından bir tedarik zinciri saldırısının hedefi olmuştu. Bu, izole bir olaydan çok, kritik yapay zeka altyapısı için bir örüntü haline gelmeye başlıyor. Yüksek yıldız sayıları ve geliştirici güveniyle bu projeler, geniş bir etki alanı kazanmak isteyen saldırganlar için ana gayrimenkul haline geliyor.
Peki, burada kim para kazanıyor? Açıklama satıcıları, kara borsa veri simsarları ve bu çalınan kimlik bilgilerini kendi kötü niyetli amaçları için yeniden kullanacak gölgeli gruplar. Bedeli ne mi? LiteLLM çalıştıran kuruluşlar için devasa veri kaybı, kimlik bilgisi tehlikesi ve olay müdahalesi ile iyileştirmenin yüksek maliyeti. Bu istismarın hızı çarpıcı bir uyarı: güvenlik açığı açıklanması ile aktif istismar arasındaki pencere kapanıyor. ‘Yama yap ya da yok ol’ zihniyetinden ‘dün yama yap’ zorunluluğuna geçiyoruz.
Önerilen çözüm - disable_error_logs: true ayarını yapmak - hemen güncelleme yapamıyorsanız bir yara bandı. Belirli deliği tıkıyor ama altta yatan yapısal zayıflığı düzeltmiyor. Gerçek çözüm 1.83.7-stable sürümüne yükseltmek. Ancak dağıtımın ortasında kalanlar veya gecikenler için sonuçlar ciddi olabilir. CVE-2026-42208’in bu denli hızlı istismar edilmesi temel bir değişimi vurguluyor: yapay zeka çağında saldırı hızı hızlanıyor. Artık sadece yazılım güvenlik açıklarından bahsetmiyoruz; güvenlik tavsiyesindeki mürekkep kuramadan ele geçirilen kritik altyapılardan bahsediyoruz.
Geliştiriciler İçin Neden Önemli?
Bu sadece güvenlik ekiplerinin sorunu değil. LiteLLM’i veya benzer açık kaynak yapay zeka altyapı bileşenlerini kullanan geliştiricilerin güvenlik sonuçlarını yakından bilmeleri gerekiyor. Hassas anahtarları yönetmek için bu araçlara güvenmek, araçtaki bir güvenlik açığının doğrudan bulut kimlik bilgileriniz ve sırlarınız için bir geçit haline gelmesi anlamına gelir. Üçüncü taraf kütüphaneleri, özellikle hassas verileri işleyenleri entegre ederken titiz güvenlik incelemesi ve proaktif yama stratejisi gerektirdiğinin sert bir hatırlatıcısıdır. Her bağımlılığı potansiyel bir saldırı vektörü olarak görmek paranoya değil; günümüzün tehdit ortamında iyi bir hijyendir.
LiteLLM Hala Güvenilir mi?
LiteLLM, kurumlar gibi burada bir kurban. Açık kaynaklı bir hataydı ve şimdi yamalandı. Asıl soru, yapay zeka altyapısının daha geniş ekosistemiyle ilgili. Hızla popülerlik kazanan ve kritik kimlik bilgilerini işleyen projeler saldırganlar için bir mıknatıs olacak. Güven, bir hatanın olup olamayacağı ile ilgili değil, projenin ne kadar hızlı yanıt verdiği ve topluluğunun ne kadar güvenlik bilincine sahip olduğuyla ilgilidir. LiteLLM’in geliştiricileri sorunu ele almak için hızla hareket ettiler, ancak istismarın hızı, iyi niyetli, popüler açık kaynaklı projelerin bile yüksek değerli hedefler haline geldiği daha büyük bir eğilimin bir belirtisidir. Geliştiriciler LiteLLM’i kullanmaya devam etmeli, ancak uyanıklık ve hızlı yama işleminin pazarlık edilemez olduğu anlayışıyla.
