익명 계정이 미공개 0-day 취약점 대량 공개
원제: Anonymous GitHub account mass-dropping undisclosed 0-days
왜 중요한가
미공개 0-day 취약점의 공개는 보안 생태계에 직접적인 위협을 초래하며, 영향받는 기업들의 긴급 대응이 필수적이다. 또한 보안 연구 윤리와 책임 공개의 중요성을 제기하는 사례로 기록될 것이다.
GitHub의 익명 계정 'bikini'가 exploitarium 저장소를 통해 공개되지 않은 0-day 취약점 PoC(개념 증명)을 대량으로 공개했다. 7zip, AnyDesk, Docker, Firefox 등 다양한 소프트웨어의 취약점 30건 이상이 포함되었으며, 계정주는 보안 분야 진입을 유도하기 위한 목적이라고 밝혔다.
GitHub의 'bikini'라는 익명 계정이 'exploitarium'이라는 저장소를 통해 공개되지 않은 0-day 취약점들의 개념 증명(PoC)과 취약점 연구 보고서를 공개했다. 저장소에는 30개 이상의 취약점이 포함되어 있으며, 구체적으로는 7zip-rar5 권한 상승, AnyDesk 프린터 COM 가장, c-ares TCP UAF(Use-After-Free), Docker cp 명령어 우회, FFmpeg 변환 취약점, Firefox 개인 탭 URL 탈취, Flowise MCP 환경변수 우회, Ghidra 12.1.2 RCE, Gitea Act Runner 컨테이너 옵션 우회, ImageMagick Ghostscript 위임 탈취, libssh2 취약점 등이 있다.
계정주는 저장소 설명에서 "이 글을 작성하는 시점에 어떤 것도 보고되지 않았으며, 직접 보고하고 CVE를 얻으면 신용을 받으실 수 있습니다"라고 명시했다. 또한 "이를 악용하지 말아달라"고 당부하면서 "보안 분야로의 진입을 유도하기 위해 이 방식이 가장 효율적이라고 생각한다"고 밝혔다. 저장소는 이미 786개의 스타를 받고 178회 포크되었으며, 보안 커뮤니티에서 큰 주목을 받고 있다.