Exploitarium: Açık Kaynaklı Projeleri Hedef Alan 30'dan Fazla Sıfır Gün Açığı Yayınlandı Siber Güvenlik

Exploitarium: Açık Kaynaklı Projeleri Hedef Alan 30'dan Fazla Sıfır Gün Açığı Yayınlandı

Kimliği bilinmeyen bir araştırmacı, Exploitarium adlı GitHub deposunda Linux, FFmpeg, 7-Zip gibi popüler açık kaynaklı projeler için 30'dan fazla sıfı

Siber güvenlik dünyasında tartışmalara yol açan bir gelişme yaşandı. 'Bikini' ve 'ashdfrkl' takma adlarını kullanan kimliği bilinmeyen bir araştırmacı, GitHub'da 'Exploitarium' adlı bir depo oluşturarak 30'dan fazla sıfır gün güvenlik açığını, ilgili yazılım geliştiricilerine önceden haber vermeden yayınladı. Bu hamle, endüstrinin standart koordineli güvenlik açığı açıklama (CVD) sürecini atlayarak doğrudan kamuya sunulması nedeniyle siber güvenlik camiasında büyük yankı uyandırdı. Araştırmacı, 27 Haziran'da ilk olarak yaklaşık 15 açığı yayınladı ve sonraki günlerde depoyu güncellemeye devam etti.

Exploitarium deposunda yayınlanan açıklar, Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC medya oynatıcı gibi birçok popüler açık kaynaklı projeyi etkiliyor. Araştırmacı, tüm fuzzing sürecini yapay zeka (AI) kullanarak otomatikleştirdiğini, özellikle OpenAI modelleri ve araçlarını kullandığını iddia etti. Fuzzing, yazılımlara rastgele veya beklenmedik veriler besleyerek çökmeleri, bellek sızıntılarını ve güvenlik açıklarını tespit eden yaygın bir otomatik test tekniğidir.

Ancak bu açık yığınının tartışma yaratmasının ana nedeni, koordineli güvenlik açığı açıklama (CVD) sürecinin atlanmış olmasıdır. CVD, güvenlik açıklarının önce geliştiricilere özel olarak bildirilmesini ve onlara yamayı hazırlamaları için zaman tanınmasını öngören endüstri standardı bir uygulamadır. Araştırmacı, GitHub'da başkalarını CVE'leri kendilerinin dosyalamaya davet ederek bu çalışmanın insanları siber güvenlik alanına çekmeyi amaçladığını söyledi. Bikini, Infosecurity'a yaptığı açıklamada, herhangi bir geliştiriciye haber vermediğini ve CVD sürecine bilinçli olarak uymadığını belirtti: 'Bence bu, insanların öğrenmesi ve alana ilgi duyması için en iyi yol. Birinin, günümüz güvenlik standartlarına uygun olmayan bir yazıyı okuması çok daha az ilginç ve bilgilendirici. Ayrıca, giriş engelini yükselterek birini eski yazılımları kurup test etmeye zorluyor.'

Uzmanların Görüşleri

Depodaki açıklardan bazıları, kamuya açıklandıktan sonra CVE numaraları aldı ve geliştiriciler tarafından yamalandı. En dikkat çekici olanı, CVSS puanı 9.2 olan ve libssh2 kütüphanesinde bulunan CVE-2026-55200 kodlu kritik ön kimlik doğrulama uzaktan kod yürütme (RCE) açığıdır. Bu açık, özel hazırlanmış SSH paketlerindeki büyük packet_length değerleriyle heap belleğini manipüle ederek uzaktan kod yürütmeye olanak tanıyor. Bikini açığı GitHub'da yayınladığında, VulnCheck şirketi bu açığı resmi kanallardan duyurmuş ve farklı bir araştırmacıya (Tristan Madani) atıfta bulunmuştu. Açık, libssh2 ana geliştirme dalında düzeltildi ancak resmi sürüm henüz yayınlanmadı.

Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200'in 'bağımsız olarak doğrulandığını' ve depodaki 'en ciddi' açık olduğunu belirtti. Andrews, aktif olarak sömürüldüğünü de ekledi. Exploitarium deposunda ayrıca 12 açık için CVE numarası atandığı belirtildi. Bunlar arasında FFmpeg'de bellek bozulması, libssh2'de heap buffer overflow, 7-Zip'te Mark-of-the-Web uyarılarının atlanması, Gitea'da konteyner kaçışı, MyBB'de ayrıcalık yükseltmesi, nghttp2'de HTTP istek kaçakçılığı, RustDesk'te uzaktan girdi enjeksiyonu, Flowise'da Windows'ta büyük-küçük harf duyarlılığından kaçış, Nmap'te integer underflow, Ladybird Web Browser'da use-after-free ve NodeBB'de kimlik doğrulama atlatma gibi açıklar yer alıyor.

Detaylar ve Etkileri

Ethan Andrews, Exploitarium deposuna yeni girişler eklendikçe 44 adet Kusto Query Language (KQL) tespit kuralı oluşturduğunu ve bunları Detections.ai web sitesi ve GitHub'da yayınladığını açıkladı. KQL kuralları, Microsoft Sentinel gibi güvenlik ve izleme araçlarında tehditleri tespit etmek için kullanılıyor. Andrews ayrıca, araştırmacının bildirdiği bazı sorunların topluluk tarafından 'düşük etkili gürültü' olarak değerlendirildiğini belirtti.

VulnCheck'ten güvenlik araştırmacısı Patrick Garrity, şirketlerinin koordineli açıklamayı güçlü bir şekilde teşvik ettiğini söyledi: 'Koordineli güvenlik açığı açıklamasını ücretsiz bir hizmet olarak sağlıyoruz ve vahşi ortamda CVE'si olmayan açıklar gördüğümüzde CVE atıyoruz. Bunu kamu yararına katkıda bulunmak için yapıyoruz.' Bikini'nin 'açıkla ve hazır ol' yaklaşımını değerlendiren Andrews ise, 'Bu, koordineli bir saldırı seti yayınlamaktan farklı bir niyet gösteriyor, ancak aynı zamanda riskli bir karar, özellikle satıcı koordinasyonu olmadan' ifadelerini kullandı. Bu olay, açık kaynak güvenliği ve gönüllü açıklama etiği konusundaki tartışmaları yeniden alevlendirdi.

Kaynak: infosecurity-magazine.com

Paylaş: