#Künstliche Intelligenz · 3 Min. Lesezeit · Tim Rinkel

NOTFALL! Hacker kapern dein KI-Gateway — CISA setzt LiteLLM-Lücke auf die Alarm-Liste

NOTFALL! Hacker kapern dein KI-Gateway — CISA setzt LiteLLM-Lücke auf die Alarm-Liste

Du leitest deine KI-Anfragen über einen selbst gehosteten LiteLLM-Proxy? Dann ist heute Schluss mit Aufschieben: Die US-Cybersicherheitsbehörde CISA hat die Lücke CVE-2026-42271 in ihren Katalog der aktiv ausgenutzten Schwachstellen (KEV) aufgenommen. Im Klartext: Angreifer nutzen das Loch JETZT, in echten Angriffen.

SCHOCK: Vom KI-Gateway zur offenen Kommandozeile

LiteLLM ist das Schweizer Taschenmesser vieler Self-Hosting-Setups: Ein Proxy, der OpenAI, Anthropic, Ollama und Dutzende andere Modelle hinter einer API bündelt. Genau diese zentrale Rolle macht ihn zum Hochwert-Ziel. Die Lücke steckt in den Test-Endpunkten der MCP-Server-Funktion: Darüber lassen sich Befehle einschleusen — eine klassische Command Injection mit CVSS 8,8.

GEFAHR! Die Kombi-Lücke macht daraus eine glatte 10,0

Richtig übel wird es durch die Forschung von Horizon3.ai: Kombiniert man die Command Injection mit CVE-2026-48710 — einem „BadHost“-Bypass im Python-Framework Starlette — fällt sogar die Anmeldung weg. Das Ergebnis ist unauthentifizierte Remote Code Execution, bewertet mit dem Maximalwert CVSS 10,0. Ein Angreifer kann dann:

  • beliebige Befehle auf deinem LiteLLM-Host ausführen,
  • alle hinterlegten API-Keys für OpenAI, Anthropic & Co. abgreifen,
  • sich seitlich in deine restliche KI-Infrastruktur bewegen.

Das ist der Albtraum schlechthin: Dein Gateway kennt JEDEN Schlüssel deines KI-Stacks.

So dichtest du dein Gateway in 5 MINUTEN ab

  • Update: LiteLLM 1.83.7 oder neuer installieren — der Fix beschränkt die Test-Endpunkte auf die Rolle PROXY_ADMIN und aktualisiert Starlette gleich mit.
  • Keys rotieren: Wenn deine Instanz öffentlich erreichbar war, behandle ALLE hinterlegten Provider-Keys als kompromittiert und tausche sie aus.
  • Exponierung prüfen: Muss der Proxy wirklich im offenen Internet stehen? Hinter VPN, Tailscale oder zumindest eine IP-Allowlist damit.
  • Logs checken: Auffällige Aufrufe der MCP-Test-Endpunkte in den Proxy-Logs sind ein Alarmsignal.

US-Bundesbehörden haben von der CISA übrigens eine knallharte Deadline bekommen: Bis zum 22. Juni muss die Lücke geschlossen sein. Nimm dir das ruhig als persönliche Frist.

FAZIT: Self-Hosted heißt selbst verantwortlich

Schon im April hatte LiteLLM mit einer SQL-Injection zu kämpfen, die binnen 36 Stunden ausgenutzt wurde — wir hatten berichtet. Das Muster ist klar: KI-Infrastruktur ist 2026 ein Primärziel. Wer Gateways selbst hostet, muss sie wie ein Stück kritische Infrastruktur pflegen — Updates am Releasetag, nicht am Wochenende danach.

Häufige Fragen

Welche Versionen sind betroffen?
Verwundbar sind LiteLLM-Proxy-Installationen vor Version 1.83.7, sofern die MCP-Server-Funktion mit ihren Test-Endpunkten erreichbar ist. Der Fix in 1.83.7 verlangt für diese Endpunkte die Rolle PROXY_ADMIN und hebt zugleich die Starlette-Abhängigkeit an, womit auch der BadHost-Bypass CVE-2026-48710 abgedeckt ist.
Wie merke ich, ob meine Instanz schon angegriffen wurde?
Prüfe die Proxy-Logs auf unerwartete Aufrufe der MCP-Test-Endpunkte und auf Anfragen mit ungewöhnlichen Host-Headern. Verdächtig sind außerdem unbekannte Prozesse auf dem Host und plötzlicher Verbrauch bei deinen Provider-Keys. Im Zweifel gilt: Keys rotieren und den Host neu aufsetzen.
Reicht das Update oder muss ich mehr tun?
Das Update schließt die Lücke, heilt aber keinen bereits erfolgten Einbruch. Wenn deine Instanz öffentlich erreichbar war, solltest du zusätzlich alle im Proxy hinterlegten API-Keys austauschen und die Maschine auf Hintertüren prüfen. Danach: Zugriff per VPN oder Allowlist einschränken.
Was ist die CISA-KEV-Liste überhaupt?
Der Known-Exploited-Vulnerabilities-Katalog der US-Behörde CISA listet nur Lücken, für die nachweislich echte Angriffe dokumentiert sind. US-Bundesbehörden müssen gelistete Lücken innerhalb einer festen Frist patchen — hier bis 22. Juni 2026. Für Admins weltweit ist die Liste ein verlässlicher Gradmesser für akuten Handlungsbedarf.

Quellen: Help Net Security · SOCRadar · LiteLLM-Blog

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert