Siber güvenlik dünyası, son günlerde 'Exploitarium' adlı bir GitHub deposuyla çalkalanıyor. 'bikini' ve 'ashdfrkl' takma adlarını kullanan bir araştırmacı, 30'dan fazla sıfır gün açığını (zero-day vulnerability) kanıt amaçlı istismar kodu (proof-of-concept exploit) ile birlikte yayınladı. Bu açıklar, Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN ve VLC oynatıcı gibi birçok popüler açık kaynak projeyi etkiliyor. Araştırmacı, bu açıkları proje geliştiricilerine önceden bildirmeden kamuya sundu.
27 Haziran'da ilk olarak yayınlanan depo, başlangıçta yaklaşık 15 istismar içeriyordu. Araştırmacı, sonraki günlerde bu sayıyı 30'un üzerine çıkardı. En dikkat çekici açıklardan biri, libssh2 kütüphanesinde bulunan ve CVSS puanı 9.2 olan CVE-2026-55200. Bu açık, ön kimlik doğrulama gerektirmeyen uzaktan kod yürütmeye (pre-authentication remote code execution - RCE) izin veriyor. VulnCheck tarafından bağımsız olarak doğrulanan açık, şu anda aktif olarak istismar ediliyor.
Araştırmacı, fuzzing sürecini tamamen yapay zeka ile otomatikleştirdiğini, özellikle OpenAI modellerini ve araçlarını kullandığını belirtti. Fuzzing, bir yazılıma rastgele, geçersiz veya beklenmedik veriler göndererek çökmeleri, bellek sızıntılarını ve güvenlik açıklarını tespit eden otomatik bir test tekniğidir. Ancak bu yöntem, geleneksel olarak sorumlu açıklama (coordinated vulnerability disclosure - CVD) süreciyle birlikte yürütülür. Araştırmacı, CVD sürecini atlayarak doğrudan kamuya açıklama yapmayı tercih etti.
GitHub'da araştırmacı, diğerlerini kendileri CVE başvurusu yapmaya davet etti ve çalışmasını insanları bu alana çekme çabası olarak nitelendirdi. Infosecurity ile Discord üzerinden yaptığı görüşmede, daha önce CVD sürecinden geçtiğini ancak bu sefer buna karar verdiğini söyledi: 'Bence insanların öğrenmesi ve alana ilgi duyması için en iyi yol bu. Günümüz güvenlik standartlarına uygun olmayan bir yazı okumaktan çok daha ilginç ve bilgilendirici. Ayrıca, eski yazılımları kurup test etmek zorunda kalmak giriş engelini yükseltiyor.'
Gelecekte Ne Bekleniyor?
Bazı açıkların kamuya açıklanmasıyla birlikte, geliştiriciler tarafından yamalar hazırlandı. CVE-2026-55200 için libssh2 ana geliştirme dalına düzeltme entegre edildi, ancak resmi bir sürüm henüz yayınlanmadı. Ayrıca, 12 açığa CVE kimliği atandı. Bunlar arasında FFmpeg'de bellek bozulması, 7-Zip'te Mark-of-the-Web (MotW) uyarılarının kaybolması, Gitea'da konteyner kaçışı, MyBB'de ayrıcalık yükseltmesi ve Nmap'te tamsayı taşması gibi kritik açıklar bulunuyor.
Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, araştırmacının yaklaşımını 'anlamlı bir şekilde farklı bir niyet' olarak değerlendirirken, 'riskli bir karar' olduğunu da vurguladı. Andrews, 44 adet Kusto Sorgu Dili (KQL) tespit kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını belirtti. VulnCheck'ten Patrick Garrity ise koordineli açıklamayı şiddetle tavsiye ettiklerini söyledi: 'Koordineli güvenlik açığı açıklamasını ücretsiz bir hizmet olarak sunuyoruz ve vahşi ortamda gözlemlediğimiz açıklara CVE atıyoruz. Bunu kamu yararına katkıda bulunmak için yapıyoruz.' Exploitarium olayı, açık kaynak güvenliğinde sorumlu açıklama etiği konusundaki tartışmaları yeniden alevlendirdi.
Kaynak: infosecurity-magazine.com