← Terug naar blog
Security briefing4 min read2026-04-29

Security briefing, 29 april 2026: LiteLLM-geheimendiefstal, PhantomRPC in Windows en Vimeo’s leverancierslek

Het patroon van vandaag is lelijk en consequent: vertrouwde middleware, vertrouwde OS-plumbing en vertrouwde leveranciers worden allemaal gebruikt als breekpunten met grote hefboom.


Kort gezegd: Vanmorgen tellen drie verhalen: actieve LiteLLM-uitbuiting gericht op modelprovider-credentials, een ongepatcht Windows-privesc-pad met de naam PhantomRPC en Vimeo dat bevestigt dat een breach bij een derde partij klantdata heeft blootgelegd.


1. LiteLLM ging in ongeveer 36 uur van disclosure naar geheimendiefstal

Aanvallers misbruiken CVE-2026-42208, een pre-auth SQL-injectie in LiteLLM’s verificatie van proxy-API-sleutels. Sysdig zag gerichte queries naar tabellen met provider-credentials, API-sleutels, omgevingssecrets en configuratiedata. Dat is belangrijk omdat LiteLLM vóór meerdere modelproviders staat; één blootgestelde instantie kan een springplank worden naar OpenAI, Anthropic, Bedrock en alles wat de proxy verder beheert.


2. PhantomRPC laat zien dat Windows-privilegegrenzen nog steeds te goedgelovig zijn

Het PhantomRPC-onderzoek van Kaspersky beschrijft een architecturale zwakte in Windows RPC: de runtime controleert niet of een RPC-server legitiem is voordat bevoorrechte clients ermee praten. Een gecompromitteerde service kan een nep-endpoint opzetten, wachten op een bevoorrechte RPC-call en de caller imiteren tot SYSTEM. Microsoft zou het probleem als matig hebben geclassificeerd en plant geen snelle remediation, dus verdedigers hebben compenserende maatregelen nodig in plaats van Patch Tuesday-fantasie.


3. Vimeo bevestigde de echte impact van de Anodot-breach

Vimeo meldde dat aanvallers databases met e-mailadressen, technische data en videometadata hebben benaderd na de compromittering van analyticsplatform Anodot. Volgens het bedrijf zijn videocontent, geldige logins en betaalkaartgegevens niet blootgesteld, maar dit blijft een klassiek vendor-trust-probleem: analytics-integraties zitten vaak dicht genoeg op productie om een leveranciersincident in een echt datalek te veranderen. ShinyHunters claimt de inbraak en dreigt de data te lekken als er voor 30 april niet wordt betaald.

Wat je vandaag moet doen

Prioriteer eerst blootgestelde AI-infrastructuur, sluit daarna zwakke privilege-aannames in Windows en her-audit tenslotte leveranciersrechten die iedereen was vergeten maar feitelijk productie zijn. De gemeenschappelijke fout is hier niet één bugklasse. Het is misplaatst vertrouwen in verbindende lagen.

Bronnen

  • BleepingComputer over actieve LiteLLM-uitbuiting (CVE-2026-42208).
  • SecurityWeek over Kaspersky’s PhantomRPC-onderzoek.
  • SecurityWeek en Vimeo’s disclosure over de Anodot-gerelateerde breach.