Akun GitHub anonim membocorkan banyak 0-day yang belum diungkap

 (github.com/bikini)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Exploitarium adalah repositori GitHub yang mengumpulkan proof-of-concept publik dan tulisan riset kerentanan di satu tempat, dengan entri riset baru ditambahkan sebagai folder mandiri
  • Repositori ini mencakup folder PoC terkait berbagai proyek seperti 7-Zip, AnyDesk, Docker, Firefox, FFmpeg, Ghidra, Gitea, ImageMagick, libssh2, Nmap, OpenVPN, PHP, RustDesk, VLC, dan lainnya
  • Entri yang dipindahkan dari repositori PoC mandiri lama mempertahankan README asli dan file yang dilacak; berdasarkan fresh GitHub clone pada 23 Juni 2026, 12 repositori dan 96 entri terlacak diverifikasi tanpa ketidaksesuaian
  • Verifikasi dilakukan bukan dengan diff filesystem longgar, melainkan dengan membandingkan data Git tree; agar lolos, relative path, tipe objek Git, tree mode, bit eksekusi, dan Git blob ID semuanya harus sama
  • Materi dalam repositori dinyatakan sebagai riset kerentanan publik yang beritikad baik, dan dalam keadaan apa pun menuntut larangan penggunaan jahat

Tujuan repositori Exploitarium

  • Exploitarium adalah arsip terpadu untuk proof-of-concept publik dan writeup riset kerentanan
  • Sebagian besar folder berisi PoC yang sebelumnya ada sebagai repositori terpisah, dengan README asli dan file yang dilacak dipertahankan
  • Entri riset baru ditambahkan langsung di dalam repositori ini sebagai folder mandiri
  • Deskripsi repositori mencantumkan frasa “New drops today ;) Biggest thing yet” serta kontak Discord @ashdfrkl

PoC dan entri riset yang disertakan

  • Tabel Contents di repositori mencantumkan total 23 folder
  • Entri yang diambil dari repositori mandiri lama ditampilkan dengan commit hash sebagai Source
    • 7zip-rar5-motw-chain-poc
    • anydesk-printer-com-impersonation-poc
    • docker-cp-copyout-destination-escape
    • flowise-mcp-env-case-bypass-poc
    • ghidra-12.1.2-rce-ace-calc-poc
    • gitea-act-runner-container-options-poc
    • imagemagick-gs-delegate-hijack-poc
    • lunar-modrinth-chain-poc
    • mybb-limited-acp-to-admin
    • objdump-dlx-calc-poc
    • openvpn-connect-echo-script-ace-poc
    • vlc-vp9-reschange-crash-poc
  • Entri yang ditambahkan langsung ditampilkan bersama tanggal
    • c-ares-tcp-uaf-calc-poc: 24 Juni 2026
    • firefox-smartwindow-private-url-exfil-poc: 24 Juni 2026
    • floci-apigateway-vtl-rce-poc: 23 Juni 2026
    • ffmpeg-rasc-dlta-calc-poc: 26 Juni 2026
    • libssh2-cve-2026-55200-poc: 23 Juni 2026
    • libssh2-publickey-list-calc-poc: 25 Juni 2026
    • nghttp2-nghttpx-upgrade-queue-poison-poc: 26 Juni 2026
    • nmap-ipv6-extlen-wrap-poc: 23 Juni 2026
    • php857-streambucket-soap-rce-rpoc: 26 Juni 2026
    • rustdesk-session-permission-pocs: 25 Juni 2026
    • systeminformer-phsvc-trusted-host-lpe-poc: 24 Juni 2026

Metode verifikasi konsolidasi

  • Consolidation Check diterapkan pada entri repositori mandiri lama yang dicantumkan dengan commit hash
  • Verifikasi dilakukan dari fresh GitHub clone pada 23 Juni 2026, sebelum repositori mandiri lama dihapus
  • Metode perbandingannya adalah mencocokkan tree HEAD dari tiap repositori mandiri dengan folder terkait di dalam Exploitarium menggunakan data Git tree
  • Setiap entri terlacak harus memenuhi kondisi berikut
    • Relative path yang sama
    • Tipe objek Git yang sama
    • Tree mode yang sama, termasuk bit eksekusi
    • Git blob ID yang sama
  • Git blob ID yang sama berarti byte file yang dilacak identik

Hasil verifikasi dan cakupan preservasi

  • Verifikasi dilakukan terhadap 12 repositori dan 96 entri terlacak, dengan 0 ketidaksesuaian
  • Repositori ini mempertahankan isi PoC tersebut
  • Metadata repositori terpisah tetap berada dalam riwayat repositori aslinya
    • stars
    • issues
    • pull requests
    • releases
    • separate Git history
  • Entri yang ditambahkan langsung dilacak melalui commit history repositori ini

Batasan penggunaan

  • Repositori ini secara tegas menyatakan agar materi tidak digunakan secara jahat dalam keadaan apa pun
  • Tujuan materi disebut sebagai riset kerentanan publik yang beritikad baik, serta untuk membuat lebih banyak orang tertarik pada area keamanan siber tersebut
  • Frasa “Cybercrime is cringe” digunakan untuk menekankan larangan penyalahgunaan

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Opini Hacker News

  • Saya sudah mencoba dan menelaah yang terkait Ghidra, dan tidak terlalu mengesankan: https://github.com/bikini/exploitarium/blob/main/ghidra-12.1...
    Yang pertama mengharuskan kita bisa menimpa binary di direktori alat Swift. Kalau kita menimpa binary yang dijalankan Ghidra, ya tentu saja itu menjadi eksekusi kode
    Yang kedua sulit dinilai karena saya tidak terlalu paham TraceRMI, tetapi patut dicatat bahwa “RMI” adalah Remote Method Invocation
    Yang ketiga sulit disebut kerentanan; itu hanya menunjukkan bahwa kode parser 7zip native dapat dijangkau. Parser 7zip bisa saja punya bug, tetapi tanpa bug itu, ini tidak berarti apa-apa

    • Dari sekilas melihat yang terkait nmap, tampaknya berpotensi memiliki tingkat keparahan tinggi. Kenyataannya bisa saja tidak seberapa, tetapi karena berada di sekitar kode parser, kemungkinan untuk membuat alur lompatan cukup besar
      Akan terasa ironis kalau bisa mendapatkan reverse shell dari orang yang melakukan pemindaian nmap. Kalau token tidak terbatas, saya mungkin akan meminta Claude menulis exploit dan menelusuri riwayat siapa yang membuatnya memungkinkan
      Dengan dugaan kasar bahwa arbitrary code execution (ACE) dimungkinkan, jika pengamat memakai nmap, ini lebih mirip bug yang akan diincar badan intelijen: dengan beberapa paket IPv6, seseorang bisa mengubah jejak yang sedang diamati atau mengakses PC peneliti yang memakai nmap
    • Akan cukup lucu kalau semua ini sebenarnya CVE yang sudah diketahui, lalu di dalamnya disembunyikan Shai-Hulud berikutnya, dengan skema menunggu para penggemar keamanan buru-buru mengunduhnya lalu terinfeksi
    • Kasus Ghidra memang cukup lemah, tetapi saat saya memeriksa c-ares, libssh2, ffmpeg yang memang menarik perhatian saya, anehnya semuanya tampak masih berfungsi bahkan terhadap commit upstream terbaru
    • Membaca pernyataan seperti “kalau menimpa binary yang dijalankan Ghidra, maka terjadi eksekusi kode” dan “RMI adalah remote method invocation”, saya jadi teringat seseorang yang menyerahkan laporan kerentanan yang jelas-jelas dibuat dengan vibe coding dan mengklaim menemukan cara menjalankan SQL arbitrer
      Proyek targetnya adalah server SQL: https://github.com/tursodatabase/turso/pull/4322
    • Kasus Gitea agak menarik, tetapi eksploitasi nyatanya tampak sulit. Ini masuk akal hanya jika Gitea atau sistem lain tidak benar-benar mengisolasi pekerjaan di VM khusus
      GitHub Actions juga sepertinya akan berperilaku mirip, dan tampaknya mereka tidak menganggapnya dapat dieksploitasi karena asumsinya pengguna sudah memiliki hak root lokal yang tidak diisolasi dengan namespace

  • Saya menelaah beberapa di antaranya dengan cukup cermat, dan tidak terlalu menarik. Kasus Docker hanyalah bug aneh, bukan kerentanan, dan khususnya bukan sesuatu yang layak disebut “0-day”
    Kasus nghttpx di nghttp2 lebih menarik dan mungkin bisa dipakai untuk phishing, tetapi antrean permintaannya nondeterministik, sehingga nyaris mustahil menargetkan korban tertentu
    Kasus VLC jelas hanya crash/bug. VLC memang sering crash kalau memakai codec aneh, jadi ini bukan hal baru
    Entah apakah ada sesuatu yang saya lewatkan

    • Kalau VLC crash di komputer saya, dan kalau saya sampai harus bersyukur kepada Tuhan setiap hari karena tidak memakai VLC, saya mungkin akan langsung mencabut listriknya dan berpikir serius dalam kondisi apa aman untuk menyalakannya lagi

  • Sepertinya kita butuh klasifikasi baru seperti 0-days-vibes-vulns. Di dunia baru kerentanan yang berani ini, akan menyenangkan punya label yang dapat menemukan dan menangani em dash, sehingga fosil tua seperti saya masih bisa mengangkat kepala hanya untuk kerentanan buatan tangan yang diracik dengan telaten oleh para perajin
    Rasanya seperti label telur ayam kampung yang bebas berkeliaran

    • Ini bagian paling mengganggu dari dunia sekarang. Semua em dash kini diperlakukan seperti sinyal AI. Dulu, di kalangan bangsa kami, itu adalah tanda kehormatan besar
    • Itu bahkan bukan em dash, tetapi hal itu saja sudah memicu thread besar
    • “Dan tolong jangan pakai M dash saat menulis”… lalu input berlanjut selama satu jam membahas hasil berkualitas buruk secara bertele-tele

  • AI selalu punya kecenderungan melaporkan segala sesuatu sebagai issue. Sebab “jumlah” temuan dianggap seperti ukuran kecerdasan
    Dalam code review pun sama, ia melaporkan banyak sekali non-issue. Output Mythos juga bisa saja menggelembung dengan cara yang sama, dan kemungkinan orang-orang terkejut bukan karena tingkat keparahannya, melainkan karena jumlah issue yang dilaporkan

    • Saya pengembang open source, dan dalam 2 minggu terakhir saya menerima tiga notifikasi “CWE”. Semuanya memang benar, tetapi hanya hal-hal sangat sepele seperti “jika file log debug ini adalah symbolic link, file dapat ditimpa” atau “jika pengguna bisa memasukkan kode layar OSC ke output Git, mereka bisa menulis data arbitrer ke layar”
      Model-model AI seperti ini membuat semuanya terdengar seperti exploit. Saya tidak tahu apakah ini baik untuk ekosistem
      Sekarang saya jadi lebih curiga terhadap semua yang masuk. Apakah ini exploit sungguhan, atau sekadar menumpuk pencapaian agar bisa berkata “minggu lalu kami membuka 39 CWE; percayakan audit kode kepada perusahaan ‘keamanan’ kami”
    • Itu berbeda dari cerita yang saya dengar dari orang-orang yang bekerja langsung dengan Mythos. Saya dengar kerentanan yang dihasilkan umumnya nyata dan bermakna

  • Apakah semua ini benar-benar 0-day? Banyak di antaranya tampaknya berasal dari CVE yang sudah dipublikasikan atau dari kode yang sudah diperbaiki di upstream
    Belakangan istilah “0-day” sebagian besar sudah kehilangan makna, dan tampaknya sering dipakai orang untuk menyebut exploit apa pun

    • Repositori itu mengklaim begini
      “Ini adalah arsip tunggal untuk PoC exploit publik dan tulisan riset kerentanan. Pada saat saya mengunggahnya, tidak ada yang sudah dilaporkan. Silakan laporkan sendiri dan ambil kreditnya kalau CVE keluar lulz. Jangan disalahgunakan. Saya melakukan ini untuk menarik lebih banyak orang ke bidang ini, dan selalu menganggap cara ini paling efisien”
      Kurang lebih itu memang dekat dengan definisi zero-day. Apakah isi repositori itu sesuai dengan klaim tersebut adalah persoalan yang sama sekali terpisah
    • Dalam situasi seperti ini, RCE pun sudah kehilangan makna. Bagian “remote” biasanya, kalau memang bermakna, kira-kira berarti sesi SSH root

  • Seiring AI menjadi cukup canggih untuk menemukan hal-hal seperti ini, materi semacam ini akan membanjir untuk sementara. Menurut saya, kalau kerentanan yang nyata sudah diperbaiki, jumlahnya akan berkurang secara alami
    Tentu saja sampai batas tertentu akan selalu ada yang tersisa, tetapi levelnya akan turun dan exploit yang ditemukan akan makin kompleks. Saat ini kita berada dalam masa transisi

    • Menurut saya ungkapan “AI sudah cukup pintar untuk menemukannya” bisa menimbulkan salah paham. Bukan “menjadi pintar”, melainkan makin disesuaikan untuk penggunaan tertentu, dengan dataset yang lebih terkurasi, harness yang lebih baik, prompt yang lebih baik, pelabelan hasil yang lebih baik, serta dokumentasi kegagalan dan keberhasilan yang terus bertambah
      Saya berharap hasilnya secara umum membaik, tetapi ungkapan antropomorfis seperti ini membuatnya terdengar seolah AI itu sendiri entah bagaimana berubah atau berevolusi
      Kenyataannya, kalangan akademik yang melakukan riset dasar, industri yang mengomersialkannya, dan para peneliti keamanan yang mengemas alat serta proses sebagai layananlah yang secara aktif membuatnya lebih baik. Tidak ada “sesuatu” yang berdiri sendiri
    • Rasanya kita sudah berada tepat di tengah tahap itu, tetapi alih-alih berkurang, “pelaporan” menjadi lebih berisik dan ambigu, sehingga makin sulit menilai tingkat ancaman sebenarnya atau vektor serangan
    • Setiap pembaruan software menciptakan atau memasukkan kembali kerentanan semacam itu
    • Jujur saja, kompleksitas eksekusi juga makin lama makin menjadi hambatan yang rendah

  • Ini terlihat seperti seseorang menjalankan model bahasa besar lalu memublikasikan hasilnya. Campurannya sangat beragam, mulai dari yang konyol seperti “kalau mengganti binary sistem, bisa eksekusi kode arbitrer!” sampai yang mungkin benar-benar nyata, jadi terlihat seperti itu
    Ini hasil yang sering muncul kalau memberi prompt semacam “temukan exploit dan tulis PoC” ke LLM
    Kalau dilatih dengan laporan Metasploit selama 15 tahun terakhir, sepertinya ia bisa menemukan bug yang sama yang orang tulis ulang di kode baru
    [1] https://en.wikipedia.org/wiki/Metasploit

  • Ada kalimat yang mengatakan jangan dalam keadaan apa pun menggunakan materi di repositori ini untuk tujuan jahat. Katanya ini adalah riset kerentanan publik dengan niat baik, dan tujuannya membuat lebih banyak orang tertarik menjelajahi ranah keamanan siber ini
    Ini mengingatkan saya pada pesan di depan salah satu resep di The Anarchist Cookbook: “Ini benar-benar berbahaya, jadi jangan pernah dilakukan. Begini caranya”

    • Bukankah di buku lama itu tidak ada kata “…untuk tujuan jahat”?

  • Sebagai kerentanan keamanan, ini tidak terlalu mengesankan. Sebagian besar lebih tepat disebut bug sederhana saja

    • Tidak setuju. Eksekusi kode FFmpeg benar-benar ganas
    • Semua kerentanan pada akhirnya hanyalah bug

  • Sepertinya ini campuran salinan yang menulis ulang CVE lama dan temuan baru dengan tingkat keparahan rendah. Saya menyebutnya tingkat keparahan rendah karena tampaknya pengguna sudah harus melakukan tindakan yang pada dasarnya berbahaya
    Ini cuma pendapat singkat 2 sen setelah melihat sekilas
    Meski begitu, memang ada temuan-temuan yang menarik. Menurut saya sebagian bisa menjadi lebih serius kalau di-chain
    Misalnya untuk kasus ovpn, mungkin bisa dikaitkan dengan mendaftarkan aplikasi VPN sebagai aplikasi pembuka default di Windows, atau sebagai program pembuka protokol untuk lokasi URL seperti openvpn://, lalu menggabungkannya dengan iframe dan social engineering yang cerdik. Sekadar pikiran yang terlintas

    • Itu bagian yang membingungkan. Sebagian tampak seperti noise level rendah, tetapi sebagian lain benar-benar fatal
      Kasus Floci, libssh2, c-ares, FFmpeg, PHP semuanya tampak nyata
      Sebaliknya kasus Ghidra tidak terlalu demikian. Saya curiga ini adalah folder riset yang baru setengah jalan, lalu begitu saja dipublikasikan