Exploitarium: Araştırmacı, Geliştiricilere Bildirmeden 30'dan Fazla Sıfır Gün Açığı Yayınladı Siber Güvenlik

Exploitarium: Araştırmacı, Geliştiricilere Bildirmeden 30'dan Fazla Sıfır Gün Açığı Yayınladı

Bikini rumuzlu araştırmacı, açık kaynak projelerdeki 30'dan fazla sıfır gün açığını geliştiricilere bildirmeden GitHub'da yayınladı. Bu durum, koordin

Bikini (ashdfrkl) rumuzlu bir güvenlik araştırmacısı, GitHub'da 'Exploitarium' adını verdiği bir depoda, daha önce açıklanmamış sıfır gün açıklarına yönelik 30'dan fazla proof-of-concept (PoC) sömürü kodu yayınladı. Araştırmacı, bu açıkları bulmak için OpenAI modelleri ve araçları da dahil olmak üzere yapay zeka destekli otomatik fuzzing süreci kullandığını iddia etti. İlk olarak 27 Haziran'da yayınlanan depo, başlangıçta yaklaşık 15 sömürü kodu içeriyordu ve sonraki günlerde araştırmacı tarafından yeni girişlerle güncellendi. Etkilenen projeler arasında Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı ve daha fazlası yer alıyor.

Siber güvenlik topluluğunda tartışma yaratan asıl nokta, araştırmacının koordineli güvenlik açığı ifşası (CVD) sürecini uygulamaması oldu. CVD, geliştiricilere özel olarak bildirim yapılmasını ve açığın kamuya duyurulmadan önce yamalanması için zaman tanınmasını öngören endüstri standardı bir uygulamadır. Bikini, Infosecurity'a yaptığı açıklamada, herhangi bir geliştiriciye yayın hakkında bilgi vermediğini doğruladı. Geçmişte CVD sürecinden geçtiğini ancak bu sefer buna karar verdiğini belirten araştırmacı, 'İnsanların öğrenmesi ve bu alana ilgi duyması için en iyi yolun bu olduğunu düşünüyorum. Günümüz güvenlik standartlarına uygun olmayan bir yazıyı okumak çok daha az ilginç ve bilgilendirici' dedi.

Açıklardan bazıları daha sonra kamuya duyuruldu ve bazıları geliştiriciler tarafından yamalandı. Bunlardan biri, libssh2 kütüphanesinde bulunan ve CVSS 9.2 puanına sahip ciddi bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) açığı olan CVE-2026-55200. Bu açık, özel hazırlanmış SSH paketleri gönderilerek heap belleğinin manipüle edilmesi yoluyla uzaktan kod yürütmeye olanak tanıyor. Bikini bu sömürü kodunu GitHub'a yüklerken, açık VulnCheck tarafından resmi kanallardan duyuruldu ve farklı bir araştırmacıya (Tristan Madani) atfedildi. Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200'in 'bağımsız olarak doğrulandığını' ve 'şu ana kadarki en ciddi açık' olduğunu belirtti. Ayrıca, 12 açığın daha CVE tanımlayıcısı aldığı bildirildi.

Bikini'nin 'açıkla ve yayınla' yaklaşımı, sektörde farklı tepkilere yol açtı. Ethan Andrews, bu hamlenin koordineli bir saldırı araç seti yayınından farklı bir niyet gösterdiğini ancak özellikle satıcı koordinasyonu olmadığında riskli bir karar olduğunu söyledi. VulnCheck'ten Patrick Garrity ise şirketlerinin koordineli bir yaklaşımı güçlü bir şekilde teşvik ettiğini ve ücretsiz CVD hizmeti sunduklarını belirtti. Bu olay, sıfır gün açıklarının ifşasında etik, güvenlik ve eğitim arasındaki hassas dengeyi bir kez daha gündeme getirdi.

Paylaş: