Exploitarium-злив змушує переглянути ризики постачальників
Питання, яке кожен Head of Platform, що відповідає за production Linux-інфраструктуру, має поставити своєму VP Eng цього тижня, — не в тому, чи є злив Exploitarium етичним. Питання в тому, чи є у on-call ротації бюджет на незапланований патч-цикл для libssh2, FFmpeg, 7-Zip і ще півдюжини бібліотек, похованих у дереві залежностей. Псевдонімний дослідник щойно переклав місяці витрат на дослідження вразливостей на кожного кінцевого споживача. Ці витрати лягають на інженерні години Q3 незалежно від того, чи планував їх CFO.
Саме такі події роблять розмови про build-vs-buy незручними, адже «безкоштовні» open source компоненти у вашому SBOM щойно виставили цілком реальний рахунок.
Що сталося
27 червня дослідник під ніком "bikini" на GitHub і "ashdfrkl" у Discord опублікував репозиторій під назвою Exploitarium. Як повідомив Infosecurity Magazine, початковий злив містив близько 15 proof-of-concept експлойтів для zero-day вразливостей у широко розгорнутих open source проєктах, а їх кількість перевищила 30 за наступні кілька днів. Серед постраждалих проєктів — Linux kernel, libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN та VLC.
Дослідник підтвердив для Infosecurity, що жоден з мейнтейнерів не був повідомлений заздалегідь. Він повідомив виданню, що публічні зливи є «найкращим способом для людей вчитися та зацікавитися галуззю», а традиційні матеріали щодо вже пропатченого ПЗ «підвищують поріг входу». Bikini додав до репозиторію попередження з проханням не використовувати матеріали зловмисно, завершивши словами «Кіберзлочинність — це кринж». На запитання, чи стримає такий дисклеймер зловмисників, він відповів: «Звісно, ні».
Дванадцяти вразливостям зі зливу вже присвоєно CVE-ідентифікатори. Головна з них — CVE-2026-55200: вразливість типу pre-authentication remote code execution у libssh2 з оцінкою CVSS 9.2. Вона була розкрита через офіційні канали компанією VulnCheck, яка відзначила незалежного дослідника Тристана Мадані (@TristanInSec). Ітан Ендрюс, detection engineer у Federal Signal Corporation, повідомив Infosecurity, що вразливість незалежно верифікована, є «найбільш серйозною» з усього зливу і вже активно експлуатується. Патч з'явився у mainline гілці libssh2, хоча мейнтейнери ще завершують підготовку офіційного релізу.
Технічна анатомія
Механізм CVE-2026-55200 є класичним і болісним: спеціально сформовані SSH-пакети з надмірними значеннями packet_length маніпулюють heap-пам'яттю, що призводить до виконання довільного коду до будь-якої аутентифікації. libssh2 — це клієнтська C-бібліотека, яка зустрічається у значній кількості інструментів автоматизації, агентів резервного копіювання, CI-раннерів та вбудованих пристроїв. Якщо у вашому флоті є outbound SSH-клієнт у control plane — ви у зоні ризику.
Решта CVE-списку нагадує кошмарний розподіл інцидентів по всьому стеку. CVE-2026-58050 — друга вразливість libssh2, heap buffer overflow на 32-бітних платформах через integer overflow; CVE-2026-58051 — use-after-free під час очищення списку публічних ключів. CVE-2026-58049 зачіпає RASC-відеодекодер FFmpeg з пошкодженням пам'яті — актуально для тих, хто обробляє медіапотоки або завантажуване користувачами відео. CVE-2026-58053 — втеча з host-контейнера у Gitea через act_runner за допомогою несанітованих Docker-опцій, що є саме тим типом знахідок, від яких не сплять platform-команди, які підтримують self-hosted CI. CVE-2026-58055 — HTTP request smuggling у проксі nghttpx від nghttp2, що безпосередньо стосується тих, хто термінує HTTP/2 на edge з цим стеком.
Далі у списку: 7-Zip не зберігає Mark-of-the-Web у спеціально сформованих RAR5-архівах (CVE-2026-58052), підвищення привілеїв у MyBB (CVE-2026-58054), ін'єкція введення при передачі файлів у RustDesk (CVE-2026-58056), обхід чутливості до регістру символів у Windows у Flowise з виконанням довільного коду (CVE-2026-58057), integer underflow у Nmap при IPv6-скануванні (CVE-2026-58058), use-after-free у WebAssembly loader у Ladybird (CVE-2026-58592) та обхід аутентифікації ActivityPub у NodeBB (CVE-2026-58593).
Дослідник стверджує, що весь фазинговий конвеєр був автоматизований за допомогою моделей і інструментів OpenAI. Це стратегічна деталь, яку варто усвідомити. Одна людина з API-бюджетом сформувала навантаження, яке традиційно вимагало невеликої команди дослідників вразливостей. Юніт-економіка офензивних досліджень щойно змінилася, а захисна сторона ще не переоцінила свої підходи. База даних CVE виглядатиме зовсім інакше за рік.
Хто постраждає
Почнемо з очевидного: будь-яка fintech або iGaming платформа, яка використовує self-hosted Git-інфраструктуру на Gogs або Gitea, тепер має втечу з контейнера прямо у своїй CI-площині. Якщо ваш act_runner виконує недовірений код PR — а він це робить за задумом — існує реальний шлях від зловмисного pull request до компрометації хосту. Це розмова на рівні GC про те, як код контриб'юторів ізолюється від production secrets.
Другий рівень: усі, хто має libssh2 у своєму графі залежностей, — а це ширше коло, ніж більшість CTO припускають. Програми резервного копіювання, агенти моніторингу, інструменти розгортання та прошивки IoT-пристроїв підтягують її транзитивно. CVE-2026-55200 — це pre-auth RCE з активною експлуатацією, що ставить її у пряму зону відстеження CISA KEV та під дію годинників відповідності для федеральних контрактів. Якщо ви продаєте до регульованих покупців, SLA за цією вразливістю дуже короткий.
CFO будь-якої компанії з великою часткою open source має запитати у свого VP Eng цього тижня, скільки інженерних днів поглинув незапланований патч-цикл і чи трактує політика управління постачальниками OSS-бібліотеку так само, як платну залежність. У більшості організацій відповідь — ні, і саме цей інцидент оголює цю прогалину. Немає вендорського SLA, на який можна послатися, коли «постачальником» є список розсилки волонтерів, які ще завершують реліз — як це зараз відбувається з libssh2.
Третій рівень — ринок найму. Ітан Ендрюс створив 44 KQL detection-правила у відповідь на злив і опублікував їх на Detections.ai та GitHub. Такий рівень швидкого detection engineering виводу тепер є базовою вимогою для старшого спеціаліста з безпеки, і ринок відповідно переоцінить це. Команди, які зволікали з відкриттям вакансії detection engineer, щойно отримали аргумент для comp committee.
Сценарій дій для команд безпеки
Перше — запустіть SBOM-запит по libssh2, FFmpeg, 7-Zip, nghttp2 та Gitea сьогодні. Не в наступному спринті. libssh2 зокрема потребує екстреного перегляду, оскільки CVE-2026-55200 активно експлуатується, а офіційний патч-реліз ще очікується. Якщо оновлення неможливе, тимчасовим контролем є мережеві обмеження на outbound SSH з application-рівнів.
Друге — завантажте KQL detection-пакет від Ендрюса, якщо ви використовуєте Microsoft Sentinel або Azure Defender. Сорок чотири правила проти конкретного та актуального зливу загроз — це вагома фора, а їх зіставлення з наявним покриттям виявить прогалини, про які ви не здогадувалися. Сам Ендрюс зазначив, що деякі вразливості зі зливу «були відхилені спільнотою як малозначний шум», тому сортуйте detection-правила відповідно до вашої реальної моделі ризиків, а не розгортайте їх наосліп.
Третє — поверніться до реєстру ризиків постачальників.패트рік Гаррітті з VulnCheck, чия команда обробила розкриття CVE-2026-55200 через належні канали, зазначив, що організація «настійно рекомендує координований підхід» і безкоштовно видає CVE, коли виявляє вразливості, що активно експлуатуються без ідентифікатора. Саме на цей координований конвеєр неявно розраховує ваш процес патчингу. Exploitarium нагадує, що цей конвеєр — люб'язність, а не контракт.
Четверте — розмова про бюджет. Команди, які оцінюють розширення свого open source footprint протягом наступних двох кварталів, мають тепер запитати себе: яка реальна вартість утримання, якщо один дослідник з підпискою OpenAI здатен згенерувати місяць незапланованого патчингу? Ця цифра не нульова, і вдавати, що це не так, перестало бути прийнятним 27 червня.
Ключові висновки
- CVE-2026-55200 (libssh2, CVSS 9.2, pre-auth RCE) активно експлуатується, а офіційний патч-реліз ще очікується. Розглядайте як надзвичайну ситуацію.
- Зі зливу Exploitarium присвоєно дванадцять і більше CVE, що охоплюють FFmpeg, 7-Zip, Gitea, nghttp2, MyBB, RustDesk, Flowise, Nmap, Ladybird та NodeBB.
- Дослідник автоматизував фазинг за допомогою інструментів OpenAI, що сигналізує: економіка офензивних досліджень змінилася швидше, ніж захисні бюджети.
- Втеча з контейнера act_runner у Gitea (CVE-2026-58053) — прихований ризик для будь-якої команди, яка запускає self-hosted CI з недовіреним кодом контриб'юторів.
- 44 KQL detection-правила від Ітана Ендрюса на Detections.ai — найшвидша доступна відправна точка для побудови покриття.
Часті запитання
Q: Що таке Exploitarium?
Exploitarium — це GitHub-репозиторій, опублікований 27 червня 2026 року псевдонімним дослідником під ніком «bikini». Він містить понад 30 proof-of-concept експлойтів для zero-day вразливостей у open source проєктах, опублікованих без попереднього повідомлення постраждалих мейнтейнерів.
Q: Яка вразливість зі зливу є найбільш терміновою для усунення?
CVE-2026-55200 — вразливість типу pre-authentication remote code execution у libssh2 з оцінкою CVSS 9.2. Вона незалежно верифікована, активно експлуатується, а патч знаходиться у mainline гілці libssh2, хоча офіційний реліз ще очікується.
Q: Чим це відрізняється від звичайного розкриття вразливостей?
Стандартною практикою є координоване розкриття вразливостей, за якого дослідники спочатку приватно повідомляють мейнтейнерів. Дослідник Exploitarium підтвердив, що не повідомив жодного мейнтейнера перед публікацією та запросив інших подавати CVE від його імені, що одночасно перекладає тиск щодо патчингу на кінцевих користувачів і волонтерські проєкти.
Google Зафіксував Перший Zero-Day, Створений за Допомогою ШІ
Google виявив перший zero-day exploit, імовірно створений за допомогою ШІ — обхід 2FA в open source адмін-інструменті. Що мають зробити керівники платформ.
Tech Mahindra робить ставку на StackGen для автоматизації рутинних завдань Cloud Ops
Tech Mahindra інтегрує платформу Aiden від StackGen у свою хмарну практику, пропонуючи AI-driven SRE, генерацію IaC та спостережуваність з вбудованим управлінням з першого дня.
Binance виходить з Європи після попередження регулятора про ризики фінансових злочинів
Binance відключає європейських користувачів після того, як регулятор вказав на ризики фінансових злочинів. Що це означає для крипто-команд, кастодіанів та комплаєнс-стеків.




