ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. CVE-2026-42208 olarak izlenen bu açık, popüler yapay zeka proxy aracı BerriAI LiteLLM'de bulunan bir SQL enjeksiyon zafiyetidir. CISA, bu tür açıkların kötü niyetli siber aktörler tarafından sıkça kullanılan bir saldırı vektörü olduğunu ve federal kurumlar için önemli riskler oluşturduğunu vurguluyor. KEV kataloğuna eklenen her açık, mutlaka düzeltilmesi gereken bir tehdit olarak kabul ediliyor.
KEV Kataloğu, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında oluşturulmuş canlı bir listedir. Bu direktif, federal sivil yürütme organı (FCEB) kurumlarının, belirlenen güvenlik açıklarını belirtilen son tarihe kadar düzeltmesini zorunlu kılar. Amaç, federal ağları aktif tehditlere karşı korumaktır. BOD 22-01 yalnızca FCEB kurumlarını bağlıyor olsa da, CISA tüm kuruluşları siber saldırılara karşı maruziyetlerini azaltmak için KEV kataloğundaki açıkları öncelikli olarak gidermeye çağırıyor.
CVE-2026-42208, BerriAI LiteLLM ürününde keşfedilen bir SQL enjeksiyon güvenlik açığıdır. SQL enjeksiyonu, saldırganın veritabanı sorgularına kötü niyetli kod eklemesine olanak tanıyan bir zafiyettir. Başarılı bir istismar, hassas verilerin sızdırılması, yetkisiz erişim veya veritabanının tamamen ele geçirilmesiyle sonuçlanabilir. BerriAI LiteLLM, yapay zeka modellerine proxy görevi gören ve API anahtarlarını yöneten bir araç olduğundan, bu açık saldırganlara geniş bir saldırı yüzeyi sunmaktadır.
Önemli Gelişmeler
Teknik detaylara inildiğinde, bu SQL enjeksiyon açığının LiteLLM'in belirli API uç noktalarında yetersiz girdi doğrulaması nedeniyle ortaya çıktığı görülmektedir. Saldırgan, özel hazırlanmış bir HTTP isteği göndererek veritabanı işlemlerini manipüle edebilir. CISA, açığın aktif olarak istismar edildiğini doğrulamış olsa da, saldırıların kapsamı ve hedefleri hakkında detaylı bilgi paylaşmamıştır. Ancak bu tür açıkların genellikle fidye yazılımı grupları ve devlet destekli aktörler tarafından kullanıldığı bilinmektedir.
BerriAI LiteLLM kullanıcıları için en kritik adım, güncellemeleri derhal uygulamaktır. LiteLLM geliştiricileri, güvenlik açığını gideren bir yama yayınlamış olmalıdır. Kullanıcılar, resmi kanallardan en son sürüme yükseltmeli ve geçici çözümler olarak web uygulaması güvenlik duvarı (WAF) kurallarını devreye almalıdır. Ayrıca, veritabanı bağlantılarını en düşük ayrıcalık prensibiyle yapılandırmak ve düzenli güvenlik taramaları gerçekleştirmek önerilir.
Teknik Analiz
CISA, KEV kataloğuna düzenli olarak yeni açıklar eklemeye devam edeceğini belirtiyor. Kuruluşların, bu kataloğu düzenli olarak takip etmeleri ve kendi sistemlerindeki ilgili açıkları öncelikli olarak yamalamaları hayati önem taşımaktadır. BOD 22-01 kapsamında federal kurumlar için belirtilen düzeltme süresi genellikle iki haftadır. Tüm kuruluşlar, bu tür istismar edilen açıklara karşı proaktif bir güvenlik duruşu benimsemeli ve zafiyet yönetimi süreçlerini sürekli iyileştirmelidir.
Kaynak: cisa.gov