Sıfır Gün Açıkları Kamuya Açıklandı: Exploitarium Depo İncelemesi Yazılım

Sıfır Gün Açıkları Kamuya Açıklandı: Exploitarium Depo İncelemesi

İsimsiz bir güvenlik araştırmacısı, 30'dan fazla sıfır gün açığını GitHub'da yayınladı. Bu açıklar, Linux çekirdeği, Libssh2 ve FFmpeg gibi projeleri

İsimsiz bir güvenlik araştırmacısı, 'Exploitarium' adını verdiği bir GitHub deposunda 30'dan fazla sıfır gün açığını yayınladı. Bu açıklar, Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi popüler açık kaynak projeleri etkiliyor. Araştırmacı, 'bikini' ve 'ashdfrkl' takma adlarını kullanarak, açıkları ilgili projelerin geliştiricilerine önceden bildirmeden kamuya açtı. Bu durum, siber güvenlik topluluğunda koordineli güvenlik açığı ifşası (CVD) tartışmalarını yeniden alevlendirdi.

Araştırmacı, GitHub'daki depoda, fuzzing sürecini tamamen yapay zeka ile otomatikleştirdiğini, özellikle OpenAI modellerini ve araçlarını kullandığını belirtti. Fuzzing, yazılımlara rastgele, geçersiz veya beklenmedik veriler göndererek çökmeleri, bellek sızıntılarını ve güvenlik açıklarını tespit eden bir test tekniğidir. Araştırmacı, bu yöntemle elde ettiği açıkları doğrudan kamuya sunarak, insanları siber güvenlik alanına çekmeyi amaçladığını ifade etti. Ancak bu yaklaşım, sektördeki standart CVD uygulamalarıyla çelişiyor.

CVD, bir güvenlik açığının önce özel olarak geliştiricilere bildirilmesini ve onlara bir yama süresi tanınmasını öngörür. 'Bikini', daha önce CVD sürecinden geçtiğini ancak bu sefer bilinçli olarak bu yolu tercih etmediğini söyledi. 'Bence bu, insanların öğrenmesi ve alana ilgi duyması için en iyi yol. Birinin günümüz güvenlik standartlarına uygun olmayan bir yazı okuması çok daha az ilginç ve bilgilendirici. Ayrıca, giriş engelini yükselterek insanların eski yazılımları kurup test etmesini gerektiriyor' dedi.

Depodaki açıklardan bazıları daha sonra kamuya duyuruldu ve bazıları geliştiriciler tarafından yamalandı. En dikkat çekici olanlardan biri, CVE-2026-55200, yaygın olarak kullanılan bir SSH2 istemci kütüphanesi olan libssh2'de kritik bir uzaktan kod yürütme (RCE) açığı. CVSS skoru 9.2 olan bu açık, özel hazırlanmış SSH paketleriyle heap belleğini manipüle ederek çalıştırılıyor. 'Bikini' bu açığı GitHub'da yayınlarken, VulnCheck aynı açığı resmi kanallardan duyurdu ve farklı bir araştırmacıya (Tristan Madani) kredi verdi. Açık, libssh2 ana geliştirme dalında düzeltildi.

CVE-2026-55200 dışında depoda 12 açığa daha CVE kimliği verildi. Bunlar arasında FFmpeg'de bellek bozulması, libssh2'de tam sayı taşması, 7-Zip'te Mark-of-the-Web (MotW) uyarılarının atlanması, Gitea'da konteyner kaçışı, MyBB'de ayrıcalık yükseltmesi, nghttp2'de HTTP istek kaçakçılığı, RustDesk'te uzaktan giriş enjeksiyonu, Flowise'de büyük-küçük harf duyarlılığı atlatması, Nmap'te tam sayı alt taşması, Ladybird Web Browser'da use-after-free ve NodeBB'de kimlik doğrulama atlatması yer alıyor.

Gelecekte Ne Bekleniyor?

Federal Signal Corporation'dan siber güvenlik analisti Ethan Andrews, Exploitarium'daki açıklar için 44 Kusto Query Language (KQL) algılama kuralı oluşturduğunu ve bunları Detections.ai ve GitHub'da yayınladığını belirtti. Andrews, bazı açıkların topluluk tarafından 'düşük etkili gürültü' olarak reddedildiğini de vurguladı. Ayrıca, 'bikini'nin yaklaşımının 'koordineli bir saldırı araç seti yayınından farklı bir niyet gösterdiğini, ancak aynı zamanda riskli bir karar olduğunu, özellikle satıcı koordinasyonu olmadan' ifade etti.

VulnCheck'ten güvenlik açığı araştırmacısı Patrick Garrity ise şirketlerinin koordineli bir yaklaşımı şiddetle teşvik ettiğini söyledi. 'Koordineli güvenlik açığı ifşasını ücretsiz bir hizmet olarak sunuyoruz ve vahşi ortamda CVE'si olmayan açıklar gördüğümüzde CVE yayınlıyoruz. Bunu CVE programına katılımcı olarak kamu yararına katkıda bulunmak için yapıyoruz' dedi. Exploitarium vakası, güvenlik araştırmacılarının etik sorumlulukları ile bilgi paylaşımının önemi arasındaki dengeyi bir kez daha gündeme getirdi.

Kaynak: infosecurity-magazine.com

Paylaş: