LiteLLM 명령어 삽입 취약점, Starlette 'BadHost' 우회와 결합되어 CVSS 10.0 도달 — CISA, 실제 공격 발생 경고

이 엔드포인트들은 JSON 요청 본문에서 Cmd, args, env 같은 전체 MCP 서버 설정을 받아들인다 . 인증된 사용자가 이 엔드포인트를 호출하면, LiteLLM은 입력받은 Cmd 값을 그대로 가져와 프록시 프로세스와 동일한 운영체제 권한으로 호스트 머신에서 서브 프로세스로 실행해버린다 .

원래 BerriAI는 이 결함을 인증된 사용자의 원격 코드 실행(RCE) 취약점으로 공개했다. 즉, 공격자가 유효한 API 키만 있다면 누구나 이 엔드포인트에 도달할 수 있었고, 접근 권한에 대한 역할 기반 검증 장치가 전혀 없었다. 다시 말해, 프록시 API 키를 가진 낮은 권한의 내부 사용자라도 호스트에서 임의의 명령어를 실행할 수 있었다는 뜻이다 . 그런데 이야기는 여기서 끝나지 않았다.

Starlette 'BadHost' 우회: 인증 장벽을 무력화하다

두 번째 취약점은 연구원들이 "BadHost"라고 명명한 CVE-2026-48710이다. 이는 FastAPI, vLLM, 그리고 LiteLLM을 포함한 수천 개의 파이썬 웹 애플리케이션의 기반이 되는 경량 ASGI 프레임워크 Starlette의 호스트 헤더 검증 결함이다 . Starlette 0.8.3 버전부터 1.0.0 버전까지 전체가 영향을 받는다 .

근본 원인은 들어오는 요청을 라우팅하는 방식과 애플리케이션 로직을 위해 URL을 재구성하는 방식 사이의 파서 불일치에 있다 . ASGI 라우팅 계층은 요청의 원시 HTTP 경로를 사용해서 어느 엔드포인트로 보낼지 결정한다. 하지만 request.url은 올바른 검증 없이 원시 Host 헤더 값과 요청 경로를 단순히 이어 붙여 재구성된다 .

공격자가 Host 헤더에 ? 또는 # 같은 URI 구분 문자를 주입하면, request.url.path가 실제 라우팅된 경로와 전혀 다르게 보이도록 만들 수 있다 . 예를 들어, 애플리케이션의 인증 미들웨어는 이것을 / 같은 무해한 경로로 인식하지만, ASGI 라우터는 이면에서 요청을 실제 취약한 엔드포인트로 전달한다. 이처럼 request.url.path를 신뢰하는 모든 경로 기반 인증 미들웨어는 손쉽게 우회된다 .

CVSS 10.0으로 만드는 연쇄 작용

LiteLLM의 인증 데코레이터는 요청에 유효한 API 키가 필요한지 판단하기 위해 request.url.path를 확인한다. BadHost 우회를 통해 공격자는 이 URL을 조작하여, 인증 미들웨어가 인증이 필요 없는 경로라고 인식하게 만든다. 동시에 ASGI 라우터는 해당 요청을 명령어 삽입에 취약한 MCP 엔드포인트로 전달한다 .

이것은 인터넷과 임의의 명령어 실행 사이에 서 있던 유일한 접근 통제 장벽을 완전히 제거하는 셈이다. 아무런 자격 증명이나 사전 네트워크 접근 권한이 없는 공격자가 단 하나의 조작된 HTTP 요청을 전송하는 것만으로 인증을 완전히 우회하고 LiteLLM 프록시 호스트에서 운영체제 명령어를 실행할 수 있다 . Horizon3.ai는 이 전체 연쇄 공격이 가능함을 확인하고, 비인증 원격 코드 실행이 가능하기 때문에 조합된 CVSS 점수를 최고 수준인 10.0으로 평가했다 .

침투 성공 시 벌어질 수 있는 일

공격에 성공하면, 공격자는 LiteLLM 프록시 프로세스의 권한으로 명령어를 실행할 수 있게 된다. 여기서부터 위협 범위는 빠르게 확장된다.

• 임의의 명령어 실행: 공격자는 호스트 프로세스 권한이 허용하는 범위 내에서 백도어, 악성코드, 암호화폐 채굴기 등 어떤 소프트웨어든 설치할 수 있다 .
• 대규모 자격 증명 탈취: LiteLLM 프록시는 애플리케이션과 수십 개의 LLM 제공업체 사이에 위치한다. 이 프록시는 OpenAI, Anthropic, Azure, AWS Bedrock, Google 등 연결된 서비스들의 API 키를 데이터베이스나 환경 변수에 저장한다 . 이 취약점을 악용하면 단 한 번의 작업으로 저장된 모든 자격 증명을 탈취할 수 있다.
• AI 인프라 전반으로의 측면 이동: 탈취한 클라우드 API 키와 프록시 호스트에 대한 쉘 접근 권한을 이용해, 공격자는 연결된 서비스, 내부 MCP 서버, 벡터 데이터베이스, 다운스트림 에이전트 프레임워크 등으로 침투 범위를 넓힐 수 있다 .
• 더 넓은 생태계에 대한 함의: Starlette의 BadHost 결함은 40만 개 이상의 종속 프로젝트에 영향을 미친다. 여기에는 FastAPI 애플리케이션, vLLM 서버, MCP 서버 배포, AI 에이전트 프레임워크 등이 포함된다. 1.0.1 이전 버전의 Starlette에서 경로 기반 인증 미들웨어를 사용하는 경우, 이 모든 것이 유사한 인증 우회 공격에 노출된다 .

CISA의 긴급 경고가 의미하는 것

CISA가 2026년 6월 8일에 CVE-2026-42271을 KEV 목록에 추가한 것은 이 취약점이 단순한 이론적 위협이 아니라 현재 공격자들이 실제로 무기화하고 있다는 사실을 공식적으로 확인한 것이다 . 구속력 있는 운영 지시(BOD) 22-01에 따라, 미국 연방 행정부 기관들은 KEV에 등재된 취약점을 정해진 기한 내에 반드시 패치해야 한다. 또한 CISA는 모든 공공 및 민간 조직이 KEV 추가 사항을 긴급 패치 최우선 과제로 취급할 것을 강력히 권고하고 있다 .

즉각적인 조치 사항

이 연쇄 공격을 막기 위해서는 두 가지 측면의 업데이트와 함께 자격 증명 노출을 방지하기 위한 여러 심층 방어 조치가 병행되어야 한다.

1. LiteLLM을 1.83.7 버전 이상으로 업그레이드하십시오. 이 버전에서는 MCP 테스트 엔드포인트가 사용자 제공 명령어를 직접 실행하는 기능을 제거하여 명령어 삽입 경로 자체를 완전히 차단한다 .
2. Starlette을 1.0.1 버전 이상으로 업그레이드하십시오. 패치는 수신된 Host 헤더를 URL 규격에 맞춰 검증하고, 잘못된 문자가 포함된 헤더는 무시하도록 변경하여 인증 우회를 가능하게 하는 경로 혼동 기법을 원천 봉쇄한다 .
3. 저장된 모든 자격 증명을 즉시 교체하십시오. LiteLLM 프록시가 지금까지 저장했던 모든 API 키, 액세스 토큰, 데이터베이스 자격 증명이 이미 유출되었다고 가정해야 한다. OpenAI, Anthropic, Azure, AWS 등 모든 제공업체의 API 키를 교체하고, 해당 과금 대시보드에서 승인되지 않은 사용 내역이 있는지 즉시 확인하라 .
4. 리버스 프록시 또는 WAF에서 해당 엔드포인트를 차단하십시오. 패치가 적용되는 동안 심층 방어 차원에서, 리버스 프록시나 웹 애플리케이션 방화벽(WAF)에서

   POST /mcp-rest/test/connection

   및

   POST /mcp-rest/test/tools/list

   로 향하는 모든 요청을 애플리케이션 도달 이전에 차단하도록 설정하라 .
5. 과거 로그를 소급 감사하십시오. LiteLLM 프록시 로그에서 MCP 테스트 엔드포인트에 대한 비정상적인 활동, 특히 예상치 못한 IP 주소나 조작된 Host 헤더를 포함한 요청이 있었는지 점검하라 .

이번 조합 취약점의 CVSS 10.0 심각도, 실제 악용 사례 발생, 그리고 CISA의 KEV 지정을 고려할 때, LiteLLM 또는 Starlette 기반 서비스를 운영하는 모든 조직은 이 상황을 비상 패치 및 자격 증명 교체 사건으로 간주해야 한다. 이미 활발한 악용과 자격 증명 탈취 사이의 골든타임이 열려 있다.