Siber güvenlik dünyasında tartışma yaratan bir gelişme yaşandı. ‘bikini’ ve Discord’da ‘ashdfrkl’ takma adlarını kullanan bir araştırmacı, GitHub’da ‘Exploitarium’ adını verdiği bir depoda 30’dan fazla zero-day proof-of-concept exploit yayınladı. Bu exploitler, Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi birçok popüler açık kaynak projeyi etkiliyor. Araştırmacı, bu açıkları geliştiricilere önceden bildirmedi, bu da koordineli güvenlik açığı açıklama (CVD) sürecine aykırı bir yaklaşım olarak değerlendiriliyor.
İlk olarak 27 Haziran’da yayınlanan depo, başlangıçta yaklaşık 15 exploit içeriyordu. Araştırmacı, sonraki günlerde depoyu güncelleyerek yeni girişler ekledi. Depoda yer alan açıklamalara göre, araştırmacı tüm fuzzing sürecini yapay zeka kullanarak, özellikle OpenAI modelleri ve araçlarıyla otomatikleştirdiğini iddia ediyor. Fuzzing, bir programa rastgele, geçersiz veya beklenmedik veriler girerek çökmeleri, bellek sızıntılarını ve güvenlik açıklarını tespit etmeye yarayan otomatik bir yazılım test tekniğidir.
Bu exploit yayınının siber güvenlik topluluğunda tartışma yaratmasının ana nedeni, koordineli güvenlik açığı açıklama (CVD) sürecinin izlenmemiş olması. CVD, geliştiricilere bir güvenlik açığını özel olarak bildirip onlara yamayı hazırlamaları için zaman tanıyan endüstri standardı bir uygulamadır. GitHub’da araştırmacı, başkalarını CVE başvurusu yapmaya açıkça davet etti ve bu çalışmayı insanları siber güvenlik alanına çekmek için bir çaba olarak nitelendirdi.
Infosecurity ile Discord üzerinden yapılan görüşmede araştırmacı, herhangi bir geliştiriciye yayın hakkında bilgi vermediğini doğruladı. Daha önce CVD sürecinden geçtiğini ancak bu kez farklı bir yol izlediğini belirtti. Araştırmacı, ‘Bence bu, insanların öğrenmesi ve alana ilgi duyması için en iyi yol. Günümüz güvenlik standartlarına uymayan bir yazıyı okumak zorunda kalmak çok daha az ilginç ve bilgilendirici. Ayrıca, giriş engelini yükselterek insanları eski yazılımları kurup test etmeye zorluyor’ dedi.
Bazı güvenlik açıkları kamuya duyurulmuş ve bazıları geliştiriciler tarafından yamalanmış durumda. Bunlardan biri olan CVE-2026-55200, libssh2 kütüphanesinde kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) açığıdır. CVSS skoru 9.2 olan bu açık, özel hazırlanmış SSH paketleriyle heap belleğini manipüle ederek kod yürütmeye olanak tanıyor. VulnCheck, bu açığı resmi kanallardan duyurdu ve farklı bir araştırmacıya (TristanMadani) atıfta bulundu. Açık, libssh2 ana geliştirme dalında düzeltildi ancak resmi sürüm henüz yayınlanmadı.
Federal Signal Corporation’dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200’nin bağımsız olarak doğrulandığını ve depodaki en ciddi açık olduğunu belirtti. Ayrıca aktif olarak istismar edildiğini ekledi. Bunun dışında, Exploitarium deposunda 12 güvenlik açığına daha CVE atanmış durumda. Bunlar arasında FFmpeg’de bellek bozulması, 7-Zip’te Mark-of-the-Web uyarılarının atlanması, Gitea’da konteyner kaçışı, MyBB’de yetki yükseltme, nghttp2’de HTTP request smuggling, RustDesk’te uzaktan giriş enjeksiyonu ve daha fazlası yer alıyor.
Ethan Andrews, bu açıkları tespit etmek için 44 Kusto Query Language (KQL) kuralı oluşturduğunu ve bunları Detections.ai ve GitHub’da yayınladığını belirtti. Ayrıca, bazı açıkların topluluk tarafından düşük etkili gürültü olarak değerlendirildiğini vurguladı. Araştırmacının yaklaşımını değerlendiren Andrews, ‘Bu, koordineli bir saldırı aracı yayınından farklı bir niyet gösteriyor, ancak aynı zamanda riskli bir karar, özellikle satıcı koordinasyonu olmadan’ dedi.
Nasıl Önlem Alınmalı?
VulnCheck’ten güvenlik açığı araştırmacısı Patrick Garrity ise şirketlerinin koordineli bir yaklaşımı güçlü bir şekilde teşvik ettiğini belirtti. ‘Koordineli güvenlik açığı açıklamayı ücretsiz bir hizmet olarak sunuyoruz ve vahşi ortamda gözlemlediğimiz açıklara CVE atıyoruz. Bunu CVE programına kamu yararına katkıda bulunmak için yapıyoruz’ ifadelerini kullandı. Exploitarium olayı, siber güvenlikte açıklama etiği ve açık kaynak güvenliği konularında önemli soruları gündeme getiriyor.
Kaynak: infosecurity-magazine.com