Açık Kaynak Projeleri Tehdit Eden 30+ Sıfır Gün Açığı: 'Exploitarium' Depo Şoku Yazılım

Açık Kaynak Projeleri Tehdit Eden 30+ Sıfır Gün Açığı: 'Exploitarium' Depo Şoku

Takma adlı bir araştırmacı, GitHub'da yayınladığı Exploitarium deposuyla 30'dan fazla sıfır gün açığını ifşa ederek siber güvenlik dünyasında tartışma

Takma adlı bir siber güvenlik araştırmacısı, GitHub üzerinde 'Exploitarium' adını verdiği bir depoda, açık kaynak projelere ait 30'dan fazla sıfır gün güvenlik açığı için proof-of-concept (PoC) istismar kodları yayınladı. Araştırmacı, 'bikini' ve 'ashdfrkl' takma adlarını kullanırken, bu istismarları geliştirirken OpenAI modelleri ve araçları kullanarak sürecin tamamını yapay zeka ile otomatikleştirdiğini iddia etti. Depo ilk olarak 27 Haziran'da yayınlandı ve başlangıçta yaklaşık 15 istismar içerirken, sonraki günlerde araştırmacı tarafından yeni girişlerle güncellendi.

İstismar edilen açıklardan en dikkat çekeni, CVE-2026-55200 olarak kaydedilen ve libssh2 kütüphanesinde bulunan kritik bir ön kimlik doğrulama uzaktan kod yürütme (RCE) zafiyeti oldu. CVSS puanı 9.2 olan bu açık, özel hazırlanmış SSH paketleri gönderilerek heap belleğinin manipüle edilmesine ve kod yürütülmesine olanak tanıyor. Bu açık, araştırmacı tarafından yayınlanmış olsa da, VulnCheck tarafından resmi kanallardan da duyuruldu ve farklı bir araştırmacıya (Tristan Madani) atfedildi. Açık şu anda libssh2 ana geliştirme dalında düzeltilmiş durumda, ancak resmi bir sürüm henüz yayınlanmadı.

Exploitarium deposu, siber güvenlik topluluğunda önemli tartışmalara yol açtı. Bunun başlıca nedeni, araştırmacının koordineli güvenlik açığı ifşası (CVD) sürecini izlememiş olması. CVD, geliştiricilere özel olarak bildirim yapılmasını ve açığın kamuya duyurulmadan önce yamalanması için zaman tanınmasını öngören endüstri standardı bir uygulamadır. Araştırmacı, Infosecurity ile yaptığı görüşmede, herhangi bir bakıcıyı bilgilendirmediğini doğruladı ve bu yaklaşımını 'insanların öğrenmesi ve alana çekilmesi için en iyi yol' olarak savundu. Ayrıca, herkesi CVE başvurusu yapmaya davet etti.

Detaylar ve Etkileri

Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200'nin 'bağımsız olarak doğrulandığını' ve istismar deposundaki 'en ciddi' açık olduğunu belirtti. Andrews, ayrıca 44 Kusto Query Language (KQL) algılama kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını söyledi. VulnCheck'ten Patrick Garrity ise koordineli yaklaşımı güçlü bir şekilde teşvik ettiklerini ve ücretsiz CVD hizmeti sunduklarını ifade etti. Depoda ayrıca FFmpeg, 7-Zip, Gitea, MyBB, Nmap gibi popüler projeleri etkileyen 12 farklı CVE daha yer alıyor.

Paylaş: