Exploitarium: Yapay Zeka ile Bulunan 30'dan Fazla Zero-Day Açığı Kamuya Sunuldu Windows

Exploitarium: Yapay Zeka ile Bulunan 30'dan Fazla Zero-Day Açığı Kamuya Sunuldu

Bikini rumuzlu araştırmacı, yapay zeka destekli fuzzing ile bulduğu 30+ zero-day exploitini koordinasyonsuz şekilde GitHub'da Exploitarium adıyla yayı

Siber güvenlik dünyasında tartışmalara yol açan bir gelişme yaşandı. Bikini (Discord'da ashdfrkl) rumuzunu kullanan bir güvenlik araştırmacısı, açık kaynak projelerdeki 30'dan fazla zero-day güvenlik açığı için hazırladığı proof-of-concept (PoC) exploitleri GitHub'da 'Exploitarium' adlı bir depoda kamuya sundu. Daha da dikkat çekici olan, araştırmacının bu açıkları proje sahiplerine önceden bildirmemiş olması ve tüm fuzzing sürecini yapay zeka kullanarak otomatikleştirdiğini iddia etmesi.

Exploitarium deposu ilk olarak 27 Haziran'da yayınlandı ve başlangıçta yaklaşık 15 exploit içeriyordu. Takip eden günlerde araştırmacı yeni girişler ekleyerek sayıyı 30'un üzerine çıkardı. Etkilenen projeler arasında Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC media player gibi son derece yaygın kullanılan açık kaynak yazılımlar bulunuyor. Araştırmacı, fuzzing sürecinde OpenAI modelleri ve araçlarını kullandığını belirterek yapay zekanın güvenlik açığı keşfindeki rolünü bir kez daha gündeme taşıdı.

Bu exploit yayınının siber güvenlik topluluğunda bu kadar tartışma yaratmasının ana nedeni, Koordineli Güvenlik Açığı Bildirimi (CVD) sürecine uyulmamış olması. CVD, endüstri standardı olarak kabul edilen ve güvenlik açıklarının önce geliştiricilere özel olarak bildirilmesini, ardından belirli bir süre tanınarak yamanın hazırlanmasını sağlayan bir yöntem. Araştırmacı ise GitHub'da açıkça başkalarını CVE başvurusu yapmaya davet ederek bu çalışmayı alana yeni kişilerin girmesi için bir fırsat olarak nitelendirdi. Infosecurity ile yaptığı Discord görüşmesinde, daha önce CVD sürecinden geçtiğini ancak bu sefer bilinçli olarak bu yolu tercih etmediğini söyledi.

Uzmanların Görüşleri

Bikini, kararını 'İnsanların öğrenmesi ve alana ilgi duyması için en iyi yol bu. Bugünün güvenlik standartlarına uymayan bir yazı okumak zorunda kalmak yerine, doğrudan uygulanabilir exploitleri görmek çok daha bilgilendirici. Ayrıca, eski yazılımları kurup test etmek zorunda kalmak giriş engelini yükseltiyor' sözleriyle savundu. Her ne kadar bazı açıklar kamuya duyurulmuş ve yamalanmış olsa da, bu yaklaşım birçok güvenlik uzmanı tarafından sorumsuzca bulundu.

Açıklanan exploitler arasında en dikkat çekeni, libssh2 kütüphanesinde bulunan ve CVE-2026-55200 koduyla tanımlanan kritik bir uzaktan kod yürütme (RCE) açığı. CVSS puanı 9.2 olan bu açık, özel hazırlanmış SSH paketleriyle heap belleğinin manipüle edilmesine ve kimlik doğrulaması gerektirmeden kod çalıştırılmasına olanak tanıyor. Bikini bu exploit'i GitHub'a yüklemiş olsa da, VulnCheck tarafından resmi kanallardan yapılan bildirim sonucu açık, başka bir araştırmacıya (TristanInSec) atfedilerek kamuya duyuruldu. Yama, libssh2 ana geliştirme dalına entegre edildi ancak resmi sürüm henüz yayınlanmadı.

Sistem Güvenliği

Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, CVE-2026-55200'in 'bağımsız olarak doğrulandığını' ve bu açığın 'en ciddi' açık olduğunu belirtti. Ayrıca aktif olarak istismar edildiğini de ekledi. Bunun dışında, Exploitarium deposunda 12 açığa daha CVE numarası verildi: FFmpeg'de bellek bozulması, libssh2'de heap buffer overflow ve use-after-free, 7-Zip'te Mark-of-the-Web uyarılarının atlanması, Gitea'da konteyner kaçışı, MyBB'de yetki yükseltme, nghttp2'de HTTP istek kaçakçılığı, RustDesk'te uzaktan giriş enjeksiyonu, Flowise'da büyük-küçük harf atlatması, Nmap'te integer underflow, Ladybird Web Browser'da use-after-free ve NodeBB'de kimlik doğrulama atlatması gibi çeşitli açıklar yer alıyor.

Ethan Andrews, Exploitarium'daki yeni girişler için 44 adet Kusto Query Language (KQL) tespit kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını belirtti. KQL kuralları, Microsoft Sentinel gibi güvenlik araçlarında tehditleri tespit etmek için kullanılıyor. Andrews ayrıca, araştırmacının ortaya koyduğu bazı sorunların 'topluluk tarafından düşük etkili gürültü' olarak değerlendirildiğini de sözlerine ekledi. Bu durum, otomatik fuzzing ile bulunan açıkların bir kısmının gerçek dünyada ciddi bir tehdit oluşturmayabileceğini gösteriyor.

Gelecekte Ne Bekleniyor?

VulnCheck'ten güvenlik araştırmacısı Patrick Garrity, şirket olarak koordineli açıklama yaklaşımını güçlü şekilde desteklediklerini ve ücretsiz CVD hizmeti sunduklarını belirtti. 'Açıkları kamu yararına CVE programına katkı olarak görüyoruz' diyen Garrity, koordinasyonsuz açıklamaların risklerine dikkat çekti. Exploitarium örneği, yapay zeka destekli otomatik fuzzing'in güvenlik açığı keşfinde giderek daha etkili hale geldiğini, ancak bu keşiflerin sorumlu bir şekilde yönetilmemesi durumunda açık kaynak ekosistemi için büyük riskler oluşturabileceğini gözler önüne seriyor.

Kaynak: infosecurity-magazine.com

Paylaş: