Takma adı 'bikini' ve 'ashdfrkl' olan anonim bir güvenlik araştırmacısı, GitHub'da 'Exploitarium' adını verdiği bir depoda, Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi birçok popüler açık kaynak projeyi etkileyen 30'dan fazla sıfır gün güvenlik açığı için kanıt amaçlı istismar kodu (PoC) yayımladı. Araştırmacı, bu açıkları proje bakımcılarına önceden bildirmedi ve koordineli güvenlik açığı ifşası (CVD) sürecini atladı. 27 Haziran'da ilk olarak yaklaşık 15 istismarla yayımlanan depo, sonraki günlerde yeni girişlerle güncellendi.
Araştırmacı, tüm fuzzing sürecini yapay zeka kullanarak, özellikle OpenAI modelleri ve araçları ile otomatikleştirdiğini belirtti. Fuzzing, yazılım güvenlik açıklarını bulmak için yaygın olarak kullanılan bir otomatik test tekniğidir; programa rastgele, geçersiz veya beklenmedik veriler göndererek çökmeleri, bellek sızıntılarını ve güvenlik kusurlarını tespit eder. Araştırmacı, bu yöntemin en iyi öğrenme yolu olduğunu ve insanları siber güvenlik alanına çekmeyi amaçladığını söyledi.
Siber güvenlik topluluğunda tartışma yaratan asıl nokta, koordineli güvenlik açığı ifşası (CVD) sürecinin uygulanmamış olması. CVD, endüstri standardı olarak, güvenlik açığının önce özel olarak geliştiriciye bildirilmesini, ardından belirli bir süre tanınarak yamanın hazırlanmasını ve sonra kamuya duyurulmasını içerir. Araştırmacı, bu kez CVD uygulamadığını, çünkü insanların güncel yazılımlarla öğrenmesinin daha ilgi çekici olduğunu savundu. GitHub'da başkalarını CVE başvurusu yapmaya davet etti.
Uzmanların Görüşleri
Bazı açıkların daha önce kamuya ifşa edildiği veya bakımcılar tarafından yamalandığı ortaya çıktı. Bunlardan biri, CVE-2026-55200, libssh2 kütüphanesinde kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) açığı (CVSS 9.2). VulnCheck tarafından resmi kanallardan ifşa edildi ve başka bir araştırmacıya (TristanMadani) atfedildi. Açık, libssh2 ana geliştirme dalında düzeltildi ancak resmi sürüm henüz yayımlanmadı. Güvenlik analisti Ethan Andrews, bu açığın bağımsız olarak doğrulandığını ve aktif olarak istismar edildiğini belirtti.
Sistem Güvenliği
Exploitarium deposunda ayrıca şu CVE'ler listelendi: CVE-2026-58049 (FFmpeg RASC kod çözücüde bellek bozulması), CVE-2026-58050 (libssh2'de 32-bit platformlarda yığın taşması), CVE-2026-58051 (libssh2'de kullanım-sonra-serbest), CVE-2026-58052 (7-Zip'te MotW uyarılarının korunmaması), CVE-2026-58053 (Gitea act_runner'da konteyner kaçışı), CVE-2026-58054 (MyBB'de yetki yükseltme), CVE-2026-58055 (nghttp2 proxy'sinde HTTP istek kaçakçılığı), CVE-2026-58056 (RustDesk dosya transferinde girdi enjeksiyonu), CVE-2026-58057 (Flowise'de Windows'ta büyük-küçük harf atlatması), CVE-2026-58058 (Nmap IPv6 taramalarında tamsayı taşması), CVE-2026-58592 (Ladybird WebAssembly yükleyicide kullanım-sonra-serbest), CVE-2026-58593 (NodeBB ActivityPub middleware'inde kimlik doğrulama atlatması).
Federal Signal Corporation'dan Ethan Andrews, 44 adet KQL (Kusto Query Language) tespit kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayımladığını belirtti. KQL kuralları, Microsoft Sentinel gibi güvenlik araçlarında tehditleri tespit etmek için kullanılır. Andrews, bazı açıkların topluluk tarafından 'düşük etkili gürültü' olarak değerlendirildiğini de ekledi. VulnCheck'ten Patrick Garrity, koordineli ifşayı güçlü bir şekilde teşvik ettiklerini ve ücretsiz CVD hizmeti sunduklarını belirtti. Andrews, bikini'nin yaklaşımının 'anlamlı bir farklı niyet' gösterdiğini ancak satıcı koordinasyonu olmadan riskli olduğunu söyledi.
Kaynak: infosecurity-magazine.com