← ब्लॉग पर वापस जाएँ
सुरक्षा ब्रीफिंग4 min read2026-04-29

सुरक्षा ब्रीफिंग, 29 अप्रैल 2026: LiteLLM सीक्रेट चोरी, Windows में PhantomRPC प्रिविलेज एस्केलेशन, और Vimeo का वेंडर ब्रीच

आज का पैटर्न बदसूरत लेकिन साफ है: trusted middleware, trusted operating-system plumbing और trusted vendors — तीनों अब high-leverage breakpoints बन रहे हैं।


सार: आज सुबह तीन कहानियाँ सबसे अहम हैं: मॉडल-प्रोवाइडर credentials पर सीधा निशाना साधता active LiteLLM exploitation, PhantomRPC नाम का unpatched Windows privilege-escalation path, और Vimeo का यह स्वीकार करना कि third-party breach से customer data खुला।


1. LiteLLM करीब 36 घंटों में disclosure से secret theft तक पहुँच गया

हमलावर CVE-2026-42208 का दुरुपयोग कर रहे हैं, जो LiteLLM की proxy API key verification flow में pre-auth SQL injection flaw है। Sysdig ने उन tables पर targeted requests देखीं जिनमें provider credentials, API keys, environment secrets और configuration data था। यह इसलिए गंभीर है क्योंकि LiteLLM कई model providers के सामने बैठता है; एक exposed instance OpenAI, Anthropic, Bedrock और बाकी managed services तक pivot बन सकती है।


2. PhantomRPC दिखाता है कि Windows privilege boundaries अभी भी ज़रूरत से ज़्यादा भरोसा करती हैं

Kaspersky की PhantomRPC research के अनुसार Windows RPC में architectural weakness है: runtime यह verify नहीं करता कि RPC server legitimate है या नहीं, फिर भी privileged clients उससे बात कर लेते हैं। एक compromised service fake endpoint खड़ा कर सकती है, privileged RPC call का इंतज़ार कर सकती है और caller को impersonate करके SYSTEM तक पहुँच सकती है। Microsoft ने इसे reportedly moderate माना है और immediate remediation की योजना नहीं है, इसलिए defenders को Patch Tuesday का इंतज़ार नहीं बल्कि compensating controls चाहिए।


3. Vimeo ने Anodot breach का असली blast radius स्वीकार किया

Vimeo ने कहा कि Anodot analytics platform compromise होने के बाद attackers ने email addresses, technical data और video metadata वाली databases तक पहुँच बनाई। कंपनी के अनुसार video content, valid login credentials और payment-card data exposed नहीं हुआ, लेकिन यह फिर भी classic vendor-trust problem है: analytics integrations अक्सर production data के इतना पास बैठती हैं कि vendor breach सीधे real incident बन जाता है। ShinyHunters इस intrusion का दावा कर रहा है और 30 अप्रैल तक ransom न मिलने पर data leak की धमकी दे रहा है।

आज क्या करना चाहिए

सबसे पहले exposed AI infrastructure को प्राथमिकता दें, फिर Windows के privilege assumptions को tighten करें, और उसके बाद उन vendor accesses का दोबारा audit करें जिन्हें सब भूल चुके थे लेकिन जो व्यवहार में production ही हैं। यहाँ common failure एक bug class नहीं है। यह connective tissue पर गलत भरोसा है।

स्रोत

  • BleepingComputer की LiteLLM active exploitation (CVE-2026-42208) रिपोर्ट।
  • Kaspersky की PhantomRPC research पर SecurityWeek की रिपोर्ट।
  • Anodot-linked breach पर SecurityWeek और Vimeo disclosure.