Anonim GitHub hesabı yayımlanmamış 0-day’leri topluca paylaştı

 (github.com/bikini)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Exploitarium, herkese açık proof-of-concept’leri ve güvenlik açığı araştırma yazılarını tek yerde toplayan bir GitHub deposudur; yeni araştırma öğeleri kendi içinde tamamlanan klasörler olarak eklenir
  • Depoda 7-Zip, AnyDesk, Docker, Firefox, FFmpeg, Ghidra, Gitea, ImageMagick, libssh2, Nmap, OpenVPN, PHP, RustDesk, VLC gibi birçok projeyle ilgili PoC klasörleri yer alır
  • Önceden bağımsız PoC depolarından taşınan öğelerde orijinal README ve izleme dosyaları korunmuştur; 23 Haziran 2026 tarihli fresh GitHub clone temel alınarak 12 depo ve 96 izlenen öğe doğrulanmış, hiçbir uyuşmazlık bulunmamıştır
  • Doğrulama gevşek bir dosya sistemi diff’iyle değil, Git tree verileri karşılaştırılarak yapılmıştır; geçmesi için göreli yolun, Git nesne tipinin, tree mode’un, çalıştırma bitinin ve Git blob ID’sinin tamamının aynı olması gerekir
  • Depodaki materyallerin iyi niyetli, herkese açık güvenlik açığı araştırması olduğu belirtilir ve her durumda kötü niyetli kullanımın yasak olduğu vurgulanır

Exploitarium deposunun amacı

  • Exploitarium, herkese açık proof-of-concept’leri ve güvenlik açığı araştırma writeup’larını birleştiren bir arşivdir
  • Klasörlerin çoğu, geçmişte ayrı depolar olarak var olan PoC’leri içerir; orijinal README ve izleme dosyaları korunur
  • Yeni araştırma öğeleri bu deponun içine doğrudan kendi içinde tamamlanan klasörler olarak eklenir
  • Depo açıklamasında “New drops today ;) Biggest thing yet” ifadesi ve Discord iletişim bilgisi @ashdfrkl yer alır

Dahil edilen PoC ve araştırma öğeleri

  • Deponun Contents tablosunda toplam 23 klasör listelenir
  • Mevcut bağımsız depolardan getirilen öğelerde commit hash’i Source olarak gösterilir
    • 7zip-rar5-motw-chain-poc
    • anydesk-printer-com-impersonation-poc
    • docker-cp-copyout-destination-escape
    • flowise-mcp-env-case-bypass-poc
    • ghidra-12.1.2-rce-ace-calc-poc
    • gitea-act-runner-container-options-poc
    • imagemagick-gs-delegate-hijack-poc
    • lunar-modrinth-chain-poc
    • mybb-limited-acp-to-admin
    • objdump-dlx-calc-poc
    • openvpn-connect-echo-script-ace-poc
    • vlc-vp9-reschange-crash-poc
  • Doğrudan eklenen öğeler tarihleriyle birlikte gösterilir
    • c-ares-tcp-uaf-calc-poc: 24 Haziran 2026
    • firefox-smartwindow-private-url-exfil-poc: 24 Haziran 2026
    • floci-apigateway-vtl-rce-poc: 23 Haziran 2026
    • ffmpeg-rasc-dlta-calc-poc: 26 Haziran 2026
    • libssh2-cve-2026-55200-poc: 23 Haziran 2026
    • libssh2-publickey-list-calc-poc: 25 Haziran 2026
    • nghttp2-nghttpx-upgrade-queue-poison-poc: 26 Haziran 2026
    • nmap-ipv6-extlen-wrap-poc: 23 Haziran 2026
    • php857-streambucket-soap-rce-rpoc: 26 Haziran 2026
    • rustdesk-session-permission-pocs: 25 Haziran 2026
    • systeminformer-phsvc-trusted-host-lpe-poc: 24 Haziran 2026

Birleştirme doğrulama yöntemi

  • Consolidation Check, commit hash’iyle listelenen mevcut bağımsız depo öğelerine uygulanır
  • Doğrulama, mevcut bağımsız depolar kaldırılmadan önce, 23 Haziran 2026 tarihli fresh GitHub clone üzerinde gerçekleştirilmiştir
  • Karşılaştırma yöntemi, her bağımsız deponun HEAD tree’si ile Exploitarium içindeki karşılık gelen klasörü Git tree verileri üzerinden eşleştirmeye dayanır
  • Her izlenen öğenin aşağıdaki koşulları karşılaması gerekiyordu
    • Aynı göreli yol
    • Aynı Git nesne tipi
    • Çalıştırma biti dahil aynı tree mode
    • Aynı Git blob ID’si
  • Aynı Git blob ID’si, izlenen dosyanın bayt düzeyinde aynı olduğu anlamına gelir

Doğrulama sonucu ve koruma kapsamı

  • Doğrulama 12 depo ve 96 izlenen öğe üzerinde yapıldı; uyuşmazlık sayısı 0’dı
  • Depo, söz konusu PoC’lerin içeriklerini korur
  • Ayrı depoların metadata bilgileri orijinal depo geçmişinde kalır
    • stars
    • issues
    • pull requests
    • releases
    • separate Git history
  • Doğrudan eklenen öğeler bu deponun commit history’si üzerinden izlenir

Kullanım kısıtlaması

  • Depo, materyallerin hiçbir koşulda kötü niyetle kullanılmaması gerektiğini açıkça belirtir
  • Materyallerin amacının iyi niyetli, herkese açık güvenlik açığı araştırması olduğu ve siber güvenliğin bu alanına daha fazla kişinin ilgi duymasını sağlamak olduğu ifade edilir
  • “Cybercrime is cringe” ifadesiyle kötüye kullanım yasağı vurgulanır

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları

  • Ghidra tarafını bizzat kullanıp inceledim; pek etkileyici değil: https://github.com/bikini/exploitarium/blob/main/ghidra-12.1...
    İlki, Swift araç dizinindeki ikili dosyaların üzerine yazabiliyor olmayı gerektiriyor. Ghidra'nın çalıştırdığı bir ikili dosyanın üzerine yazarsanız kod çalıştırmanın mümkün olması zaten doğal
    İkincisi için TraceRMI'ı iyi bilmediğimden değerlendirmesi zor, ama “RMI”ın uzaktan yöntem çağrısı (Remote Method Invocation) olduğunu belirtmekte fayda var
    Üçüncüsünü zafiyet saymak zor; yalnızca yerel 7zip parser koduna ulaşılabildiğini gösteriyor. 7zip parser'ında bir bug olabilir, ama o yoksa bunun anlamı yok

    • nmap tarafına göz attım; potansiyel olarak yüksek önem derecesinde olabilir gibi görünüyor. Gerçekte önemsiz de çıkabilir, ama parser kodunun çevresinde olduğu için sıçrama akışı oluşturma ihtimali epey yüksek
      nmap taraması yapan birinden reverse shell alabilmek ironik olurdu. Token'lar sınırsız olsaydı Claude'a exploit yazdırıp bunu kimin mümkün kıldığının geçmişini kurcalardım sanırım
      Kabaca tahminle keyfi kod çalıştırmanın (ACE) mümkün olduğunu varsayarsak, gözlemci nmap kullanıyorsa birkaç IPv6 paketiyle izlenmekte olan trafiği değiştirmek ya da nmap kullanan bir araştırmacının bilgisayarına erişmek gibi bir şey olurdu; yani istihbarat kurumlarının iştahını kabartacak bir bug'a yakın
    • Bunların hepsi zaten bilinen CVE'lerse ve içlerine bir sonraki Shai-Hulud gizlenmişse, güvenlik meraklılarının aceleyle indirirken enfekte olmasını bekleyen bir düzenekse epey komik olurdu
    • Ghidra olayı oldukça zayıf, ama ilgimi çeken c-ares, libssh2, ffmpeg taraflarına bakınca en güncel upstream commit'leriyle bile hepsi çalışıyor gibi görünüyor; bu garip
    • “Ghidra'nın çalıştırdığı ikili dosyanın üzerine yazarsanız kod çalıştırma olur”, “RMI uzaktan yöntem çağrısıdır” gibi şeyleri görünce, birinin açıkça vibe coding ile hazırlanmış bir zafiyet raporu gönderip keyfi SQL çalıştırma yolu bulduğunu iddia ettiği olayı hatırladım
      Hedef proje bir SQL sunucusuydu: https://github.com/tursodatabase/turso/pull/4322
    • Gitea olayı biraz ilginç, ama gerçek dünyada kötüye kullanımı zor görünüyor. Gitea ya da başka bir sistem işi özel bir VM içinde düzgünce yalıtmıyorsa ancak o zaman makul olabilir
      GitHub Actions da benzer davranırdı sanırım; kullanıcıların zaten yerelde namespace ile yalıtılmamış root yetkisine sahip olduğu varsayıldığı için bunun istismar edilebilir sayılmadığı anlaşılıyor

  • Birkaçına oldukça dikkatli baktım; o kadar ilginç değillerdi. Docker olayı sadece tuhaf bir bug, zafiyet değil; özellikle de “0-day” denecek bir şey hiç değil
    nghttp2'deki nghttpx olayı daha ilginç ve phishing için kullanılabilir, ama istek kuyruğu deterministik olmadığından belirli bir kurbanı tutturmak fiilen neredeyse imkânsız
    VLC olayı ise açıkça bir crash/bug. VLC zaten garip codec'ler kullanıldığında sık sık çöker, yani yeni bir şey değil
    Bir şeyi kaçırıyor muyum bilmiyorum

    • VLC benim bilgisayarımda çökerse ve VLC kullanmadığım için her gün Tanrı'ya şükretmem gerekecek kadar kötüyse, hemen fişi çeker ve hangi koşullarda tekrar açmanın güvenli olacağını ciddi ciddi düşünürdüm

  • 0-days-vibes-vulns gibi yeni bir sınıflandırmaya ihtiyaç var gibi. Bu cesur yeni zafiyet dünyasında em dash'leri tespit edip ayıklarken, benim gibi eski fosillerin hâlâ el emeğiyle özenle yapılmış zanaatkâr işi zafiyetlere başını kaldırabilmesini sağlayacak bir etiket olsa iyi olurdu
    Yumurtalardaki serbest gezen tavuk etiketi gibi

    • Bugünün dünyasında en sinir bozucu şeylerden biri bu. Artık her em dash bir AI sinyali gibi muamele görüyor. Eskiden bizim halkımız arasında büyük saygı göstergesiydi
    • O şey em dash bile değil, ama sırf bununla dev bir thread oluştu
    • “Ve lütfen yazarken M dash kullanma”… girdi, düşük kaliteli çıktıdan bir saat boyunca uzayıp giden şekilde bahsetmeye devam ediyor

  • Yapay zeka her zaman her şeyi issue olarak raporlama eğiliminde. Çünkü bulunan “sayı” zekânın ölçüsüymüş gibi görülüyor
    Kod incelemesinde de aynı şekilde çok sayıda issue olmayan şeyi raporluyor. Mythos çıktısı da aynı biçimde şişirilmiş olabilir; insanları şaşırtan şey önem derecesi değil, raporlanan issue sayısı olabilir

    • Açık kaynak geliştiricisiyim; son 2 haftada üç “CWE” bildirimi aldım. Hepsi doğruydu ama “bu debug log dosyası bir sembolik link ise dosyanın üzerine yazılabilir”, “kullanıcı Git çıktısına OSC ekran kodu koyabiliyorsa ekrana keyfi veri yazabilir” gibi çok önemsiz şeylerdi
      Bu yapay zeka modelleri her şeyi exploit gibi gösteriyor. Ekosistem için iyi mi emin değilim
      Artık gelen her şeye daha şüpheyle bakıyorum. Bu gerçek bir exploit mi, yoksa “geçen hafta 39 CWE açtık; kod denetiminizi bizim ‘güvenlik’ şirketimize yaptırın” demek için başarı mı biriktiriyorlar diye düşünüyorum
    • Mythos ile doğrudan çalışmış kişilerden duyduklarımla uyuşmuyor. Üretilen zafiyetlerin genelde gerçek ve anlamlı olduğunu duydum

  • Bunların hepsi gerçekten 0-day mi? Önemli bir kısmı zaten yayımlanmış CVE'lerden ya da upstream'de düzeltilmiş koddan geliyor gibi
    Günümüzde “0-day” terimi büyük ölçüde anlamını yitirdi; insanlar sanki herhangi bir exploit'i ifade etmek için kullanıyor

    • Depo şöyle iddia ediyor
      “Herkese açık exploit PoC'leri ve zafiyet araştırma yazılarından oluşan tek bir arşiv. Ben yüklediğim sırada hiçbir şey raporlanmamış oluyor. Kendiniz raporlayıp CVE çıkarsa krediyi alabilirsiniz lulz. Kötüye kullanmayın. Bunu daha fazla insanı bu alana çekmek için yapıyorum ve bunun her zaman en verimli yol olduğunu düşündüm”
      Kabaca zero-day tanımına yakın. Depo içeriğinin bu iddiayla örtüşüp örtüşmediği ise bambaşka bir mesele
    • Bu durumda RCE de anlamını yitirdi. “Uzak” kısmı, genelde bir anlamı varsa SSH root oturumu gibi bir şeyi ifade ediyor

  • Yapay zekâ bu tür şeyleri bulabilecek kadar yeterince gelişmiş hale geldikçe, bu tür materyaller bir süre boyunca sağanak gibi gelecek. Gerçek açıklar düzeltildikçe bunun doğal olarak azalacağını düşünüyorum
    Elbette bir miktarı her zaman kalacak, ama seviyenin düşmesini ve bulunan exploit’lerin giderek daha karmaşık hale gelmesini bekliyorum. Şu an bir geçiş dönemi

    • “Yapay zekâ yeterince akıllandı da buluyor” ifadesinin yanlış anlaşılmaya açık olduğunu düşünüyorum. Mesele “akıllanması” değil; belirli kullanım amaçlarına daha uygun hale gelmesi, daha iyi seçilmiş veri kümeleri, daha iyi harness’ler, daha iyi prompt’lar, daha iyi sonuç etiketleme, başarısızlık ve başarıların belgelenmesinin birikmesi
      Sonuçların genel olarak iyileşmesini umuyorum, ama bu tür insanbiçimci ifadeler yapay zekânın kendisi somehow değişiyor ya da evriliyormuş gibi duyulmasına yol açıyor
      Gerçekte ise temel araştırma yapan akademi, bunu ticarileştiren sektör ve araçlarla süreçleri hizmet olarak paketleyen güvenlik araştırmacıları aktif biçimde daha iyi hale getiriyor. Bağımsız bir “şey” yok
    • Zaten o aşamanın tam ortasında gibiyiz, ama azalmak yerine “raporlama” daha gürültülü ve muğlak hale geldiği için gerçek tehdit seviyesini ya da saldırı vektörünü değerlendirmek daha zorlaştı
    • Her yazılım güncellemesi bu tür açıkları yeniden oluşturur ya da geri getirir
    • Açıkçası çalıştırma karmaşıklığı da zaman geçtikçe giderek daha düşük bir engel haline geliyor

  • Birisi büyük dil modeli çalıştırıp sonuçları yayımlıyor gibi görünüyor. “Sistem binary’sini değiştirirsen keyfi kod çalıştırma!” gibi gülünç olanlardan gerçekten doğru olabilecek olanlara kadar geniş bir karışım var; bana böyle görünmesinin nedeni bu
    LLM’e “exploit bul ve PoC yaz” gibi bir prompt verdiğinizde sıkça çıkan sonuç bu
    Son 15 yılın Metasploit raporlarıyla eğitirseniz, insanların yeni koda tekrar yazdığı aynı bug’ları bulabilecek gibi
    [1] https://en.wikipedia.org/wiki/Metasploit

  • Bu depodaki materyallerin hiçbir koşulda kötü niyetle kullanılmamasını söyleyen bir ifade var. Bunun iyi niyetli bir açık güvenlik açığı araştırması olduğu ve daha fazla insanın bu siber güvenlik alanını keşfetmeye ilgi duymasını amaçladığı söyleniyor
    The Anarchist Cookbook’taki bazı tariflerin başındaki “Bu gerçekten tehlikeli, sakın yapmayın. Yapılışı şöyle” tarzı mesajı hatırlatıyor

    • Eski kitapta “…kötü niyetle” ifadesi yoktu sanki?

  • Güvenlik açığı olarak pek etkileyici değil. Çoğuna basitçe sıradan bug demek daha doğru olur

    • Katılmıyorum. FFmpeg kod çalıştırma gerçekten fena
    • Tüm açıklar sonuçta sadece bug’dır

  • Mevcut CVE’lerin yeniden yazılmış kopyalarıyla yeni ortaya çıkan düşük ciddiyetli şeylerin karışımı gibi görünüyor. Düşük ciddiyet dememin nedeni, kullanıcının zaten doğası gereği tehlikeli bir şey yapması gerekiyormuş gibi görünmesi
    Hızlıca göz attıktan sonraki iki kuruşluk görüşüm
    Yine de ilginç bulgular oldukları doğru. Bazılarının zincirlenirse daha ciddi hale gelebileceğini düşünüyorum
    Örneğin ovpn vakasında, Windows’ta VPN uygulamasını varsayılan açma uygulaması olarak kaydetmek ya da openvpn:// gibi URL konumları için protokol açma programı olarak kaydettirmek ve ardından iframe ile kurnazca sosyal mühendisliği birleştirmek mümkün olabilir. Sadece aklıma gelen bir fikir

    • Kafa karıştıran nokta bu. Bazıları düşük seviyeli gürültü gibi, ama bazıları gerçekten kritik
      Floci, libssh2, c-ares, FFmpeg, PHP vakalarının hepsi gerçek görünüyor
      Buna karşılık Ghidra vakası pek öyle değil. Bu sanki yarım kalmış bir araştırma klasörüymüş de olduğu gibi yayımlanmış gibi geliyor