'Exploitarium'un Arkasındaki Araştırmacı, Açıklanmayan Sıfır Gün İstismarlarının Yayınlanmasını Açıklıyor Yazılım

'Exploitarium'un Arkasındaki Araştırmacı, Açıklanmayan Sıfır Gün İstismarlarının Yayınlanmasını Açıklıyor

Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı ve daha fazlası dahil olmak üzere birçok açık kaynaklı ...

Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı ve daha fazlası dahil olmak üzere birçok açık kaynaklı projeyi etkiliyor.

İlk olarak 27 Haziran'da yayınlanan veri deposu, başlangıçta yaklaşık 15 açıktan yararlanma olanağı içeriyordu, daha sonra araştırmacı bunu önümüzdeki birkaç gün içinde yeni girişlerle güncelledi.

'Exploitarium' adı verilen çöplük, Discord'da 'bikini' ve 'ashdfrkl' adlarını kullanan bir kişi tarafından GitHub'da herkese açık olarak paylaşıldı.

Takma adlı bir güvenlik araştırmacısı, açık kaynak projelerdeki sıfır gün güvenlik açıklarına yönelik 30'dan fazla kavram kanıtlama istismarını, bunları ilk önce bakımcılara açıklamadan yayınladı.

Detaylar ve Etkileri

GitHub'daki 'Exploitarium' deposunda araştırmacı, yapay zeka, özellikle OpenAI modelleri ve araçlarını kullanarak tüm bulanıklaştırma sürecini otomatikleştirdiklerini iddia etti.

Güvenlik açıklarını bulmak için en yaygın kullanılan yöntemlerden biri olan fuzzing, çökmeleri, bellek sızıntılarını ve güvenlik kusurlarını tespit etmek için bir bilgisayar programına rastgele, geçersiz veya beklenmedik veriler giren otomatik bir yazılım test tekniğidir.

Ancak bu istismar dökümünün siber güvenlik camiasında tartışmayı başlatmasının ana nedeni, koordineli güvenlik açığı ifşasının (CVD) açıkça eksikliğidir.

Sonuç ve Değerlendirme

CVD, geliştiricileri bir güvenlik kusuruna karşı önce özel olarak uyaran ve onlara ayrıntılar kamuya açıklanmadan önce sorunu düzeltmeleri için bir süre tanıyan endüstri standardı bir uygulamadır.

GitHub'da araştırmacı, başkalarını açıkça CVE'leri kendileri dosyalamaya davet etti ve çalışmayı, insanları alana çekme çabası olarak çerçeveledi.

Discord'da Infosecurity'ye konuşan araştırmacı, yayının sorumlularından hiçbirini bilgilendirmediklerini doğruladı. Geçmişte CVD sürecinden geçmiş olsalar da bu sefer vazgeçtiler.

Uzmanların Görüşleri

Bikini olarak bilinen araştırmacı, "Bunun, insanların öğrenmesi ve alana ilgi duyması için en iyi yol olduğunu düşünüyorum. Birisinin günümüzün güvenlik standartlarına uygun olmayan bir yazıyı okumak zorunda kalması çok daha az ilgi çekici ve bilgilendirici olur" dedi.

"Aynı zamanda giriş engelini de yükseltiyor ve birisinin geri dönüp test etmek için güncel olmayan bir yazılım yüklemesine neden oluyor."

Açıklanan CVE'lerle Bağlantılı Bazı İstismarlar

Önemli Gelişmeler

O zamandan beri bazı güvenlik açıkları kamuya açıklandı ve bazıları bakımcılar tarafından yamalandı.

Bunlardan biri olan CVE-2026-55200, SSH2 protokolünü uygulayan yaygın olarak kullanılan bir istemci tarafı C kitaplığı olan libssh2'yi etkileyen ve CVSS ciddiyet puanı 9,2 olan ciddi bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığını temsil ediyor.

Nasıl Önlem Alınmalı?

Suistimal, yığın belleğini işlemek için büyük boyutlu paket_uzunluğu değerleri içeren özel hazırlanmış SSH paketlerinin iletilmesini ve sonuçta uzaktan kod yürütülmesini sağlamayı içerir.

Bikini, GitHub'daki açıktan yararlanırken, güvenlik açığı VulnCheck tarafından resmi kanallar aracılığıyla, farklı bir siber güvenlik araştırmacısı Tristan Madani'nin (@TristanInSec olarak da bilinir) kendisine bildirdiği için itibar edilerek kamuya açıklandı.

Bu sorun, halihazırda libssh2 ana hat geliştirme şubesine entegre edilmiş bir düzeltmeyle giderildi; ancak bakımcılar hâlâ yamayı içeren resmi bir sürümü tamamlamaya çalışıyor.

Infosecurity'ye konuşan Federal Signal Corporation'da siber güvenlik analisti ve tespit mühendisi olan Ethan Andrews, CVE-2026-55200'ün "bağımsız olarak doğrulandığını" söyledi.

Sistem Güvenliği

Çöplükten çıkan ve aktif sömürüye maruz kalanın "en ciddi" güvenlik açığı olduğunu belirtti.

Bikini'nin 'Exploitarium' GitHub deposu, CVE-2026-55200'ün yanı sıra 12 sayının da CVE tanımlayıcılarını aldığını belirtti:

Teknik Analiz

CVE-2026-58049: FFmpeg'in RASC video kod çözücüsünde bellek bozulması (yığın yazma/okuma)

CVE-2026-58050: Tam sayı taşması nedeniyle 32 bit platformlarda libssh2'de yığın arabellek taşması

CVE-2026-58051: Genel anahtar listesi temizliği sırasında libssh2'de başlatılmamış işaretçi yok (ücretsiz kullanım)

CVE-2026-58052: 7-Zip, hazırlanmış RAR5 arşivlerini ayıklarken Web İşareti (MotW) uyarılarını koruyamıyor

Gelecekte Ne Bekleniyor?

CVE-2026-58053: Temizlenmemiş Docker konteyner seçenekleri aracılığıyla Gitea'nın act_runner'ında ana konteynerden kaçış

CVE-2026-58054: Kısıtlanmamış kullanıcı grubu atamaları nedeniyle MyBB'de ayrıcalık artışı

CVE-2026-58055: nghttp2'nin nghttpx proxy'sinde HTTP isteği kaçakçılığı ve kuyruk zehirlenmesi

CVE-2026-58056: RustDesk dosya aktarımlarında uzaktan giriş ekleme ve yetkisiz görüntü erişimi

CVE-2026-58057: Flowise'da Windows'ta büyük/küçük harf duyarlılığının atlanması, rastgele kod yürütülmesine neden oluyor

CVE-2026-58058: Nmap'te tamsayı taşması, IPv6 taramaları sırasında sınır dışı okumalara ve çökmelere neden oluyor

CVE-2026-58592: Kullanım sonrası Ladybird Web Tarayıcısı WebAssembly yükleyicisinde kod yürütmeye yol açan r-free

CVE-2026-58593: NodeBB'nin ActivityPub ara yazılımında kimlik doğrulamayı atlama ve sahtecilik sonrası

Federal Signal'dan Andrews, 'Exploitarium' deposuna yeni girişler olarak Infosecurity'ye 44 Kusto Sorgu Dili (KQL) algılama kuralı oluşturduğunu ve bunları Detections.ai web sitesinde ve GitHub'da yayınladığını söyledi.

KQL algılama kuralları, Microsoft Sentinel, Azure Defender veya Azure Veri Gezgini gibi güvenlik ve izleme araçlarındaki sorgulardır. Bir kuruluşun dijital ortamındaki güvenlik tehditlerini, uyumluluk ihlallerini ve şüpheli etkinlikleri tanımlamak, araştırmak ve bunlara yanıt vermek için kullanılırlar.

Andrews ayrıca takma isimli araştırmacının gündeme getirdiği bazı sorunların "düşük darbe gürültüsü nedeniyle topluluğun göz ardı edildiğini" vurguladı.

Koordinasyon Güvenlik Açığı Açıklamasının Atlanması

Bikini tarafından kullanılan hazır olduğunda çöpe atma yaklaşımı sorulduğunda Andrews, "Bu, koordineli bir saldırı araç seti sürümünden anlamlı derecede farklı bir niyet gösteriyor, ancak aynı zamanda riskli bir karar, özellikle de satıcı koordinasyonu olmadan." dedi.

Infosecurity'ye konuşan VulnCheck'teki güvenlik açığı araştırmacısı Patrick Garrity, şirketinin "koordineli bir yaklaşımı güçlü bir şekilde teşvik ettiğini" söyledi.

"Ücretsiz bir hizmet olarak koordineli güvenlik açığı bildirimi sağlıyoruz ve doğada bulunmayan güvenlik açıklarını gözlemlediğimizde CVE'ler yayınlıyoruz. Bunu, kamu mallarına katkıda bulunmak ve CVE'nin zamanında yayınlanmasını sağlamaya yardımcı olmak için CVE programının bir katılımcısı olarak yapıyoruz" dedi.

Bikini, GitHub deposunda, istismarlarının kötü niyetli kullanımına karşı bir uyarı ekledi: "Hiçbir koşulda, bu depodaki herhangi bir materyali kötü niyetli olarak KULLANMAYIN. Bu, daha fazla insanın siber güvenliğin bu alanını keşfetmeye ilgisini çekmeyi amaçlayan iyi niyetli, açık ifşa güvenlik açığı araştırmasıdır. Siber suç utanç vericidir."

Bunun kötü niyetli aktörleri caydırmak için yeterli olup olmayacağını düşündükleri sorulduğunda şu yanıtı verdiler: "Elbette hayır. Yasal uyarı yardımcı olabilir, ancak günün sonunda kendi seçimlerini yapma konusunda özgür iradeye sahipler."

Ancak Bikini, istismarların kamuya açık olarak yayınlanmasının "yalnızca yama sürecini hızlandırdığını ve bu sorunların daha hızlı çözülmesini sağlayarak bu şeylerden zaten haberdar olabilecek saldırganları sınırlayacağını" savundu.

"Açık açıklamanın, koşulların %99'unda herkes için daha iyi olduğunu yeni anladım" diye eklediler.

VulnCheck'ten Garrity, "bu tür düşüşleri daha fazla görmeye devam edeceğimize" inandığını söyledi.

Sahte araştırmacının yaklaşımı, Mayıs 2026'da Microsoft açıklarını yayınlayan sıfır gün hata avcısı Nightmare Eclipse'i anımsatıyor.

Şimdi okuyun: Microsoft, "Koordine Olmayan" Sıfır Gün Açıklamalarını Kınadı

Araştırmacı, Fuzzing için Sınır Dışı Yapay Zeka Modellerinin Kullanıldığını İddia Ediyor

Bikini, "Exploitarium" GitHub deposunda, projenin kodunu bulanıklaştırmak ve daha sonra manuel incelemeyle doğruladıkları düzensizlikleri bulmak için bir OpenAI modeli kullandıklarını iddia etti. Spesifik olarak, çalışmayı başlangıçta GPT-5.5-3-Codex-Spark'a bağladılar, daha sonra açıklamayı GPT-5.3 olarak revize ettiler.

"Bu sorunları tanımlamanıza yardımcı olacak bir SOTA [son teknoloji ürünü] modele ihtiyacınız YOK, söz veriyorum!" yazdılar.

"Daha iyi bir modeli satın alabilmek faydalı olsa da, verilerim bunun yalnızca yeterli insan gözetimi ve iyi bir emniyet kemeriyle eşleştirildiğinde marjinal olduğunu gösteriyor. Gerçek PoC'lerin hiçbiri [kavram kanıtı istismarları] titreşim kodlu değildi; Aslında onları elle yazdım."

Infosecurity'ye konuşan bikini, "Yapay zeka korumalarıyla ilgili herhangi bir sorunla karşılaşmadıklarını" ancak asıl zorluğun "insanların ilgisini çeken hataları bulmak" olduğunu söyledi.

Gelecekte iş akışları hakkında daha fazla bilgi yayınlamayı planladıklarını duyurdular.

"Bence en iyi işe yaradığını bulduğunuz şeylerden ilk olarak kendi iş akışınızı oluşturmanız ve yapay zekanın bu süreci sizin için otomatikleştirmesi için katı bir yol uygulamanız önemli" diye eklediler.

Infosecurity, libssh2 ve Ghidra'nın geliştiricileriyle temasa geçti ancak yayın sırasında herhangi bir yanıt alamadı.

Paylaş: