đïž Contexte
Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnĂ©rabilitĂ© Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’infĂ©rence pour modĂšles de langage vision-language (VLM) dĂ©veloppĂ© par Shanghai AI Laboratory / InternLM.
đ VulnĂ©rabilitĂ©
La faille rĂ©side dans le traitement du champ image_url lors des requĂȘtes de complĂ©tion de chat. Le serveur dĂ©rĂ©fĂ©rence l’URL fournie sans vĂ©rification de rĂ©solution de nom d’hĂŽte, sans liste de blocage des adresses privĂ©es, ni protection des adresses link-local. Tout schĂ©ma http:// ou https:// est acceptĂ©, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918.
â±ïž Timeline d’exploitation
- 18 avril 2026, 15:09 UTC : GHSA publié au niveau dépÎt GitHub
- 20 avril 2026, 21:16 UTC : CVE-2026-33626 créé dans le NVD
- 21 avril 2026, 15:04 UTC : GHSA-6w67-hwm5-92mq publié sur la page principale GitHub
- 22 avril 2026, 03:35 UTC : PremiĂšre tentative d’exploitation observĂ©e depuis
103.116.72.119
DĂ©lai : 12 heures et 31 minutes entre la publication de l’advisory et la premiĂšre exploitation. Aucun PoC public n’existait au moment de l’attaque.
đŻ DĂ©roulement de l’attaque (session de 8 minutes)
Phase 1 â AccĂšs aux mĂ©tadonnĂ©es cloud :
- RequĂȘte SSRF vers
http://169.254.169.254/latest/meta-data/iam/security-credentials/(AWS IMDSv1) - RequĂȘte vers
http://127.0.0.1:6379(Redis)
Phase 2 â Confirmation OOB et Ă©numĂ©ration API :
- Callback DNS/HTTP vers
cw2mhnbd.requestrepo.com(service OAST requestrepo.com) - Enumération :
GET /,GET /openapi.json,POST /v1/chat/completions
Phase 3 â Sonde admin et sweep de ports localhost :
POST /distserve/p2p_drop_connect(endpoint sans authentification, peut perturber l’infĂ©rence via dĂ©connexion ZMQ)- Sweep loopback :
http://127.0.0.1:8080,http://127.0.0.1:3306,http://127.0.0.1 - Alternance entre les modĂšles
internlm-xcomposer2etOpenGVLab/InternVL2-8B
đ Indicateurs notables
- IP source :
103.116.72.119(AS400618, Kowloon Bay, HK) - Domaine OOB :
cw2mhnbd.requestrepo.com - 10 requĂȘtes distinctes en 8 minutes
đ Nature de l’article
Il s’agit d’un rapport d’incident technique publiĂ© par la Sysdig TRT, documentant une exploitation observĂ©e sur honeypot, avec timeline prĂ©cise, analyse des phases d’attaque, IoCs et rĂšgles de dĂ©tection Falco associĂ©es.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1190 â Exploit Public-Facing Application (Initial Access)
- T1552.005 â Cloud Instance Metadata API (Credential Access)
- T1046 â Network Service Discovery (Discovery)
- T1016 â System Network Configuration Discovery (Discovery)
- T1595.001 â Scanning IP Blocks (Reconnaissance)
- T1590 â Gather Victim Network Information (Reconnaissance)
- T1071.001 â Web Protocols (Command and Control)
- T1499.004 â Application or System Exploitation (Impact)
IOC
- IPv4 :
103.116.72.119â AbuseIPDB · VT · ThreatFox - Domaines :
cw2mhnbd.requestrepo.comâ VT · URLhaus · ThreatFox - Domaines :
requestrepo.comâ VT · URLhaus · ThreatFox - URLs :
http://169.254.169.254/latest/meta-data/iam/security-credentials/â URLhaus - URLs :
http://127.0.0.1:6379â URLhaus - URLs :
http://127.0.0.1:3306â URLhaus - URLs :
http://127.0.0.1:8080â URLhaus - URLs :
http://127.0.0.1â URLhaus - URLs :
http://cw2mhnbd.requestrepo.comâ URLhaus - CVEs :
CVE-2026-33626â NVD · CIRCL
đĄ Indice de vĂ©rification factuelle : 62/100 (moyenne)
- ⏠webflow.sysdig.com â source non rĂ©fĂ©rencĂ©e (0pts)
- â 14262 chars â texte complet (fulltext extrait) (15pts)
- â 10 IOCs (IPs/domaines/CVEs) (10pts)
- â 2/6 IOCs confirmĂ©s (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
- â 8 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠0/1 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
cw2mhnbd.requestrepo.com(domain) â VT (4/94 dĂ©tections)requestrepo.com(domain) â VT (12/94 dĂ©tections)
đ Source originale : https://webflow.sysdig.com/blog/cve-2026-33626-how-attackers-exploited-lmdeploy-llm-inference-engines-in-12-hours