Siber güvenlik dünyasında tartışma yaratan bir gelişme yaşandı. 'bikini' veya 'ashdfrkl' takma adlarını kullanan bir güvenlik araştırmacısı, açık kaynak projelerde keşfettiği 30'dan fazla sıfır gün (zero-day) güvenlik açığını, proje geliştiricilerine önceden haber vermeden GitHub üzerinde 'Exploitarium' adlı bir depoda herkese açık olarak yayınladı. İlk olarak 27 Haziran'da yayınlanan depo, yaklaşık 15 istismarla başlarken, araştırmacı sonraki günlerde yeni keşifler ekleyerek listeyi genişletti. Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi popüler projeler bu açıklardan etkileniyor.
Araştırmacı, açıkları bulmak için tüm fuzzing sürecini yapay zeka ile otomatikleştirdiğini, özellikle OpenAI modelleri ve araçlarını kullandığını iddia etti. Fuzzing, bir programa rastgele, geçersiz veya beklenmedik veriler göndererek çökmeleri, bellek sızıntılarını ve güvenlik açıklarını tespit eden otomatik bir yazılım test tekniğidir. Ancak bu istismar yığınının siber güvenlik topluluğunda tartışma yaratmasının ana nedeni, koordineli güvenlik açığı ifşası (CVD) sürecinin izlenmemiş olması. CVD, bir güvenlik açığını önce geliştiriciye özel olarak bildirip, düzeltme yaması için belirli bir süre tanıyan endüstri standardı bir uygulamadır.
GitHub'da araştırmacı, başkalarını CVE başvurusu yapmaya davet etti ve çalışmasını insanları siber güvenlik alanına çekme çabası olarak nitelendirdi. Infosecurity ile Discord üzerinden yaptığı görüşmede araştırmacı, geliştiricilere haber vermediğini doğruladı. Geçmişte CVD sürecine dahil olduğunu ancak bu sefer farklı bir yol izlemeye karar verdiğini belirten bikini, 'Bence bu, insanların öğrenmesi ve alana ilgi duyması için en iyi yol. Birinin günümüz güvenlik standartlarına uygun olmayan bir yazıyı okuması çok daha az ilgi çekici ve bilgilendirici. Ayrıca, eski yazılımları kurup test etmek zorunda kalmak giriş engelini yükseltiyor.' dedi.
Bazı açıklar kamuya ifşa edilmiş durumda ve bazıları geliştiriciler tarafından yamalandı. Bunlardan biri olan CVE-2026-55200, libssh2 kütüphanesinde kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) açığıdır. CVSS puanı 9.2 olan bu açık, özel hazırlanmış SSH paketleriyle heap belleğini manipüle ederek uzaktan kod yürütmeye olanak tanıyor. bikini bu açığı GitHub'da yayınlarken, VulnCheck tarafından resmi kanallardan farklı bir araştırmacıya (Tristan Madani) atıfla kamuya duyuruldu. Açık, libssh2 ana geliştirme dalında düzeltildi ancak resmi sürüm henüz yayınlanmadı.
Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200'in 'bağımsız olarak doğrulandığını' ve aktif olarak istismar edildiğini belirtti. Andrews, Exploitarium'daki açıkları tespit etmek için 44 adet Kusto Sorgu Dili (KQL) kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını söyledi. Ayrıca bazı açıkların topluluk tarafından 'düşük etkili gürültü' olarak değerlendirildiğini vurguladı. Diğer CVE'ler arasında FFmpeg'de bellek bozulması, 7-Zip'te Mark-of-the-Web uyarılarının atlanması, Gitea'da konteyner kaçışı, MyBB'de ayrıcalık yükseltmesi ve Nmap'te tamsayı taşması gibi açıklar yer alıyor.
Sonuç ve Değerlendirme
VulnCheck'ten güvenlik araştırmacısı Patrick Garrity, şirketlerinin koordineli bir yaklaşımı güçlü şekilde desteklediğini söyledi. Garrity, 'Koordineli güvenlik açığı ifşasını ücretsiz bir hizmet olarak sunuyoruz ve vahşi ortamda CVE'si olmayan açıklar gördüğümüzde CVE atıyoruz. Bunu CVE programının bir katılımcısı olarak kamu yararına yapıyoruz.' dedi. Andrews ise bikini'nin 'hazır olduğunda yayınla' yaklaşımının 'koordineli bir saldırı araç seti yayınından farklı bir niyet gösterdiğini, ancak satıcı koordinasyonu olmadan riskli bir karar olduğunu' belirtti. Bu olay, açık kaynak güvenliğinde koordineli ifşanın önemini bir kez daha gözler önüne seriyor.
Kaynak: infosecurity-magazine.com