LiteLLM vulnerable a escape de sandbox en guardrail. La AutopsIA

Impacto

LiteLLM presenta una vulnerabilidad crítica de escape de sandbox que permite la ejecución arbitraria de código en el proceso proxy. La falla se encuentra en el endpoint POST /guardrails/test_custom_code, que ejecuta código Python proporcionado por el usuario dentro de un sandbox desarrollado internamente por el equipo.

El sandbox implementado puede ser comprometido utilizando técnicas avanzadas a nivel de bytecode, lo que permite a un atacante ejecutar código arbitrario en el proceso proxy. Esta situación es particularmente grave porque el proceso proxy se ejecuta con privilegios de root en la imagen Docker predeterminada, otorgando al atacante control total sobre el sistema.

Requisitos de Acceso

Para explotar esta vulnerabilidad, el atacante debe poseer credenciales de proxy-admin en configuraciones predeterminadas. Aunque esto limita el vector de ataque, representa un riesgo significativo en entornos donde estas credenciales puedan estar comprometidas o donde existan usuarios internos maliciosos.

Corrección y Mitigación

La vulnerabilidad ha sido corregida en la versión 1.83.11 de LiteLLM. La solución implementada reemplaza el sandbox desarrollado internamente por RestrictedPython, una biblioteca más robusta y probada para la ejecución segura de código Python.

Se recomienda encarecidamente actualizar a la versión 1.83.11 o posterior para eliminar completamente esta vulnerabilidad.

Soluciones Temporales

Si la actualización inmediata no es posible, se puede implementar una mitigación temporal bloqueando el endpoint POST /guardrails/test_custom_code a nivel de reverse proxy o API gateway. Esta medida preventiva elimina la superficie de ataque mientras se planifica la actualización del sistema.

Implicaciones de Seguridad

Esta vulnerabilidad representa un riesgo significativo para la integridad del sistema, especialmente en entornos de producción donde LiteLLM maneja datos sensibles o se integra con sistemas críticos. La capacidad de ejecutar código arbitrario como root puede llevar a compromisos completos del sistema, incluyendo acceso a datos confidenciales, modificación de configuraciones críticas y potencial movimiento lateral en la infraestructura.