Exploitarium : un chercheur dévoile des failles zero-day dans 15 logiciels open source

Actu Cybersécurité

Exploitarium : un chercheur dévoile des failles zero-day dans 15 logiciels open source

Un chercheur anonyme a publié d’un seul coup, sur GitHub, des codes d’exploitation pour des failles zero-day touchant 15 logiciels et projets open source. Le problème : il n’a prévenu personne, ce qui n’est pas sans rappeler le comportement d’un autre chercheur avec Microsoft… Au moins deux des vulnérabilités divulguées seraient déjà exploitées. Voici ce que l’on sait.

Un dépôt Exploitarium lâché sans prévenir personne

Un chercheur opérant sous le pseudonyme bikini a mis en ligne sur GitHub un dépôt intitulé Exploitarium, rassemblant du code d’exploitation et des rapports de vulnérabilités qui affectent directement 15 logiciels et projets open source. Parmi les cibles citées, il y a notamment : libssh2, Splunk, RustDesk, 7-Zip, VLC, AnyDesk, OpenVPN, c-ares, Gitea ou encore Floci.

Le point commun de toutes ces failles ? Aucun éditeur n’aurait été prévenu avant la publication. Il s’agit d’une divulgation sauvage, et surtout, irresponsable. Voici ce que l’on peut lire sur le dépôt GitHub (désormais supprimé) : “Une archive unique regroupant des PoC d’exploits publics et des rapports de recherche sur les vulnérabilités. Au moment où je publie ces informations, aucune n’a encore été signalée. N’hésitez pas à les signaler vous-même et à vous attribuer le mérite du CVE s’il est attribué, juste pour le plaisir.”

J’ignore si les codes d’exploitation (PoC) pour ces vulnérabilités sont fonctionnels, mais le comportement de chercheur n’est pas un cas isolé. En effet, cette méthode rappelle celle de Nightmare Eclipse, un chercheur qui s’est récemment illustré en publiant des failles visant Windows, au point que Microsoft a fini par supprimer son compte GitHub. Pour autant, cela ne l’a pas empêché, quelques jours plus tard, de publier une nouvelle faille : RoguePlanet, juste après les correctifs de juin. Toutefois, bikini ne semble pas régler de comptes avec un éditeur en particulier, il a juste envie de tous nous mettre à nu (ou en bikini ?) en divulguant des failles au sein de solutions populaires.

De son côté, Ethan Andrews, analyste chez Federal Signal, estime que le chercheur aurait utilisé un modèle avancé (il évoque GPT-5.5 Codex) pour automatiser le fuzzing et la découverte de vulnérabilités. Un scénario plausible, qui s’inscrit dans une tendance déjà documentée, à savoir celle d’une explosion du nombre de CVE provoquée par l’IA dans l’écosystème logiciel.

Deux failles déjà exploitées : libssh2 et Gitea

Si une partie du dépôt est contestée, deux vulnérabilités sortent du lot car elles feraient déjà l’objet d’attaques. Il s’agit de failles dans la bibliothèque libssh2 et dans Gitea :

  • CVE-2026-55200, une faille critique de type exécution de code à distance (RCE) en pré-authentification dans libssh2, une bibliothèque C côté client implémentant le protocole SSH2. Un attaquant distant peut envoyer des paquets SSH spécialement conçus avec une valeur excessivement grande, afin de corrompre la mémoire du tas et exécuter du code. Un correctif a été fusionné dans la branche de développement principale de libssh2, mais les mainteneurs prépareraient encore une version stable intégrant ce patch.
  • CVE-2026-20896, une faille critique de contournement d’authentification affectant les déploiements Gitea auto-hébergés sous Docker. Elle permet à un attaquant distant non authentifié d’usurper n’importe quel compte utilisateur et de prendre totalement le contrôle du serveur Git. Elle est corrigée dans Gitea 1.26.3.

Pour Ethan Andrews, qui a publié 44 règles de détection KQL couvrant l’ensemble du dépôt (pour Microsoft Defender et Sentinel), ce sont précisément ces deux découvertes qui méritent une attention particulière : “Les résultats les plus significatifs sur le plan technique – l’écriture en mémoire pré-authentification dans libssh2 et le contournement d’authentification Docker par défaut de Gitea – ont été vérifiés de manière indépendante comme étant à haut risque, avec une exploitation active observée.”

Quid de la divulgation responsable ?

Au-delà des deux failles confirmées, c’est la façon de faire qui interroge. Quand un chercheur publie une preuve de concept sans prévenir l’éditeur, défenseurs et attaquants découvrent la faille au même instant : l’avantage est bien souvent aux attaquants, surtout en l’absence de patch. C’est tout l’inverse de la divulgation coordonnée, qui laisse habituellement aux éditeurs une fenêtre de plusieurs semaines pour corriger avant la divulgation.

Dans tous les cas, il y aurait du tri à faire dans ce dépôt, avec notamment des failles qui seraient du simple bruit généré par du fuzzing automatisé à l’IA, peu exploitable en pratique. C’est un secret pour personne : l’automatisation avec l’IA abaisse la barrière à l’entrée de la recherche de vulnérabilités, mais elle élève aussi le niveau de bruit, multipliant les faux positifs à trier.

Source

SOURCE