Siber güvenlik dünyasında tartışmalara yol açan bir gelişme yaşandı. 'Bikini' ve 'ashdfrkl' takma adlarını kullanan bir güvenlik araştırmacısı, açık kaynak projelerde keşfettiği 30'dan fazla sıfır gün güvenlik açığını GitHub üzerinde 'Exploitarium' adlı bir depoda yayınladı. Araştırmacı, bu açıkları bulmak için yapay zeka destekli otomatik fuzzing teknikleri kullandığını iddia ederken, açıkların sorumlu geliştiricilere önceden bildirilmemesi güvenlik camiasında büyük yankı uyandırdı. 27 Haziran'da ilk olarak yaklaşık 15 exploit ile yayına giren depo, kısa sürede yeni eklemelerle güncellendi.
Exploitarium'da yer alan açıklar; Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi birçok popüler açık kaynak projeyi etkiliyor. Araştırmacı, fuzzing sürecini tamamen OpenAI modelleri ve araçları kullanarak otomatize ettiğini belirtti. Fuzzing, yazılımlara rastgele veya beklenmedik veriler göndererek çökmeleri, bellek sızıntılarını ve güvenlik kusurlarını tespit etmek için kullanılan yaygın bir otomatik test tekniğidir. Ancak bu yöntemin yapay zeka ile birleştirilmesi, keşfedilen açıkların sayısını ve çeşitliliğini artırmış görünüyor.
Exploitarium'un en çok eleştirilen yönü, koordineli güvenlik açığı ifşası (CVD) sürecinin atlanması oldu. CVD, endüstri standardı olarak, bir güvenlik açığının önce geliştiricilere özel olarak bildirilmesini, ardından yamanın hazırlanması için belirli bir süre tanınmasını ve ancak ondan sonra açığın kamuya duyurulmasını öngörür. Bikini, Infosecurity'a verdiği röportajda, daha önce CVD sürecinden geçtiğini ancak bu kez farklı bir yaklaşım benimsediğini söyledi. 'Bence bu, insanların öğrenmesi ve alana ilgi duyması için en iyi yol. Birinin, günümüz güvenlik standartlarına uygun olmayan bir yazıyı okuması çok daha az ilgi çekici ve bilgilendirici,' dedi. Ayrıca, 'Bu aynı zamanda giriş engelini yükselterek birinin eski yazılımları kurup test etmesini gerektiriyor,' diye ekledi.
Depodaki bazı açıklar için CVE numaraları tahsis edilmiş durumda. Bunlardan en dikkat çekeni, libssh2 kütüphanesinde bulunan ve CVSS puanı 9.2 olan CVE-2026-55200. Bu, kimlik doğrulama gerektirmeyen uzaktan kod yürütme (RCE) açığı, özel hazırlanmış SSH paketleriyle heap belleğini manipüle ederek çalışıyor. Açık, VulnCheck tarafından resmi kanallardan duyuruldu ve libssh2 ana geliştirme dalında düzeltildi, ancak resmi sürüm henüz yayınlanmadı. Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, bu açığın 'bağımsız olarak doğrulandığını' ve aktif olarak istismar edildiğini belirtti.
Nasıl Önlem Alınmalı?
Diğer CVE'ler arasında FFmpeg'de bellek bozulması (CVE-2026-58049), 7-Zip'te Mark-of-the-Web uyarılarının atlanması (CVE-2026-58052), Gitea'da konteyner kaçışı (CVE-2026-58053), MyBB'de ayrıcalık yükseltmesi (CVE-2026-58054), RustDesk'te uzaktan girdi enjeksiyonu (CVE-2026-58056) ve Ladybird Web Tarayıcısı'nda use-after-free (CVE-2026-58592) gibi ciddi açıklar bulunuyor. Andrews, Exploitarium için 44 adet Kusto Sorgu Dili (KQL) tespit kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını açıkladı. KQL kuralları, Microsoft Sentinel gibi güvenlik araçlarında tehditleri tespit etmek için kullanılıyor.
VulnCheck'ten güvenlik araştırmacısı Patrick Garrity, şirketlerinin koordineli yaklaşımı güçlü bir şekilde desteklediğini ve ücretsiz CVD hizmeti sunduklarını belirtti. 'CVE programına katılımcı olarak, kamu malına katkıda bulunmak için vahşi ortamda gördüğümüz açıklara CVE atıyoruz,' dedi. Ethan Andrews ise bikini'nin 'açıkla-hazır' yaklaşımını 'anlamlı olarak farklı bir niyet gösteriyor, ancak aynı zamanda riskli bir karar, özellikle satıcı koordinasyonu olmadan' şeklinde değerlendirdi. Ayrıca, bazı açıkların topluluk tarafından 'düşük etkili gürültü' olarak reddedildiğini de ekledi.
Kaynak: infosecurity-magazine.com