Exploitarium: Araştırmacı, Açıklanmamış 30'dan Fazla Sıfır Gün Açığını GitHub'a Yükledi Siber Güvenlik

Exploitarium: Araştırmacı, Açıklanmamış 30'dan Fazla Sıfır Gün Açığını GitHub'a Yükledi

Bir güvenlik araştırmacısı, 30'dan fazla sıfır gün açığını GitHub'da yayınlayarak koordineli ifşa sürecini atladı. Açıklar Linux, FFmpeg, 7-Zip gibi p

'Bikini' ve 'ashdfrkl' takma adlarını kullanan bir güvenlik araştırmacısı, GitHub'da Exploitarium adlı bir depoda 30'dan fazla sıfır gün açığı için proof-of-concept (PoC) istismar kodu yayınladı. Araştırmacı, bu açıkları geliştiricilere önceden bildirmedi. Depo ilk olarak 27 Haziran'da yaklaşık 15 istismarla yayınlandı ve sonraki günlerde güncellendi. Araştırmacı, fuzzing sürecini otomatikleştirmek için OpenAI modelleri ve araçlarını kullandığını iddia etti.

Bu durum siber güvenlik topluluğunda tartışma yarattı çünkü koordineli güvenlik açığı ifşası (CVD) süreci atlandı. CVD, geliştiricilere açığı özel olarak bildirip düzeltme yapmaları için süre tanıyan endüstri standardıdır. Araştırmacı, bilgiyi herkesin öğrenmesi ve alana ilgi duyması için en iyi yolun bu olduğunu savundu. 'Bugünün güvenlik standartlarına uygun olmayan bir yazı okumak daha az ilgi çekici ve bilgilendirici' dedi.

Açıklardan bazıları daha sonra kamuya duyuruldu ve bir kısmı yamalandı. En ciddisi, Libssh2 kütüphanesinde bulunan ve CVSS puanı 9.2 olan CVE-2026-55200, kimlik doğrulama gerektirmeyen uzaktan kod çalıştırma (RCE) açığıdır. VulnCheck tarafından resmi kanallardan duyuruldu ve farklı bir araştırmacıya atfedildi. Diğer açıklar arasında FFmpeg, 7-Zip, Gitea, MyBB, Nmap gibi projelerde bulunan güvenlik sorunları yer alıyor.

Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, bu yaklaşımın 'koordineli bir saldırı araç seti yayınından anlamlı şekilde farklı bir niyet gösterdiğini, ancak aynı zamanda riskli bir karar olduğunu' belirtti. VulnCheck'ten Patrick Garrity, koordineli ifşayı güçlü bir şekilde tavsiye ettiklerini söyledi. Andrews, Exploitarium için 44 Kusto Query Language (KQL) algılama kuralı oluşturdu ve bunları Detections.ai ve GitHub'da yayınladı.

Paylaş: