익명 GitHub 계정이 미공개 0-day를 대량 공개

Ghidra 쪽은 직접 써서 살펴봤는데 별로 인상적이지 않음: https://github.com/bikini/exploitarium/blob/main/ghidra-12.1...
첫 번째는 Swift 도구 디렉터리의 바이너리를 덮어쓸 수 있어야 함. Ghidra가 실행하는 바이너리를 덮어쓰면 코드 실행이 되는 건 당연함
두 번째는 TraceRMI를 잘 몰라서 판단하기 어렵지만, “RMI”가 원격 메서드 호출(Remote Method Invocation)이라는 점은 짚을 만함
세 번째는 취약점이라고 보기 어렵고, 네이티브 7zip 파서 코드에 도달 가능하다는 것만 보여줌. 7zip 파서에 버그가 있을 수는 있지만 그게 없으면 의미가 없음

nmap 쪽은 훑어보니 잠재적으로 심각도 높음일 수 있어 보임. 실제로는 별것 아닐 수도 있지만, 파서 코드 주변이라 점프 흐름을 만들 가능성이 꽤 높음
nmap 스캔을 하는 사람에게 역방향 셸을 따낼 수 있다면 아이러니할 듯함. 토큰이 무한하다면 Claude에게 익스플로잇 작성을 시키고 누가 가능하게 만들었는지 이력을 파볼 것 같음
거칠게 추측해서 임의 코드 실행(ACE)이 가능하다고 가정하면, 관찰자가 nmap을 쓰는 경우 IPv6 패킷 몇 개로 관찰 중인 추적을 바꾸거나 nmap을 쓰는 연구자 PC에 접근할 수 있는 식이라 정보기관이 탐낼 버그에 가까움

이것들이 전부 이미 알려진 CVE인데 그 안에 다음 Shai-Hulud를 숨겨두고, 보안 취미가들이 급히 내려받다가 감염되길 기다리는 구조라면 꽤 웃길 것 같음

Ghidra 건은 꽤 약하지만, 관심 있던 c-ares, libssh2, ffmpeg 쪽을 확인해보니 최신 업스트림 커밋 기준으로도 모두 동작하는 것 같아 이상함

“Ghidra가 실행하는 바이너리를 덮어쓰면 코드 실행이 된다”, “RMI는 원격 메서드 호출이다” 같은 얘기를 보니, 누군가가 명백히 바이브코딩한 취약점 보고서를 제출하며 임의 SQL 실행 방법을 찾았다고 주장하던 일이 떠오름
대상 프로젝트가 SQL 서버였음: https://github.com/tursodatabase/turso/pull/4322

Gitea 건은 약간 흥미롭지만, 실제 악용은 어려워 보임. Gitea나 다른 시스템이 전용 VM에서 작업을 제대로 격리하지 않는 경우가 아니라면 그럴 듯함 GitHub Actions도 비슷한 동작을 할 것 같고, 사용자가 이미 로컬에서 네임스페이스로 격리되지 않은 root 권한을 가진다고 가정해서 악용 가능하다고 보지 않는 듯함

몇 개를 꽤 꼼꼼히 봤는데 그렇게 흥미롭지는 않았음. Docker 건은 그냥 이상한 버그이지 취약점은 아니고, 특히 “0-day”라고 부를 만한 것도 아님
nghttp2의 nghttpx 건은 더 흥미롭고 피싱에 쓸 수도 있겠지만, 요청 큐가 비결정적이라 특정 피해자를 맞히는 게 사실상 불가능에 가까움
VLC 건은 그냥 명백한 크래시/버그임. VLC는 이상한 코덱을 쓰면 원래도 자주 크래시가 나니 새롭지 않음
뭔가 놓친 게 있는지 모르겠음

VLC가 내 컴퓨터에서 크래시 난다면, 그리고 내가 VLC를 쓰지 않는다는 사실에 매일 신에게 감사해야 할 정도라면, 바로 전원을 뽑고 어떤 조건에서 다시 켜도 안전할지 진지하게 생각할 것 같음

0-days-vibes-vulns 같은 새 분류가 필요해 보임. 이 용감한 새 취약점 세계에서 em dash를 찾아내고 처리하면서, 나 같은 오래된 화석은 여전히 손으로 정성스럽게 만든 장인식 취약점에만 고개를 들 수 있게 해주는 라벨이 있으면 좋겠음
계란의 방사 사육 라벨 같은 느낌임

요즘 세상에서 제일 거슬리는 부분임. 모든 em dash가 이제 AI 신호처럼 취급됨. 예전에는 우리 민족 사이에서 큰 존경의 표시였음

저건 심지어 em dash도 아닌데, 그것만으로 거대한 스레드가 생겼음

“그리고 제발 글 쓸 때 M dash는 쓰지 마”… 입력은 한 시간 동안 저질 결과물 얘기를 질질 끌며 이어짐

AI는 늘 모든 것을 이슈로 보고하려는 경향이 있음. 발견 “개수”가 지능의 척도처럼 여겨지기 때문임
코드 리뷰에서도 똑같이 많은 비이슈를 보고함. Mythos 출력도 같은 식으로 부풀었을 수 있고, 심각도가 아니라 보고된 이슈 개수가 사람들을 놀라게 했을 가능성이 있음

오픈소스 개발자인데 지난 2주 동안 “CWE” 알림을 세 개 받았음. 모두 맞긴 했지만 “이 디버그 로그 파일이 심볼릭 링크라면 파일을 덮어쓸 수 있다”, “사용자가 Git 출력에 OSC 화면 코드를 넣을 수 있으면 화면에 임의 데이터를 쓸 수 있다” 같은 아주 사소한 것들이었음
이런 AI 모델들이 모든 것을 익스플로잇처럼 들리게 만들고 있음. 생태계에 좋은지 모르겠음
이제 들어오는 모든 것을 더 의심해서 보게 됨. 진짜 익스플로잇인가, 아니면 “지난주에 CWE 39개를 열었다. 우리 ‘보안’ 회사에 코드 감사를 맡겨라”라고 말하려고 업적을 쌓는 건가 싶음

Mythos와 직접 일한 사람들에게 들은 얘기와는 다름. 생성된 취약점은 대체로 실제이고 의미 있었다고 들었음

이것들이 전부 실제 0-day인가? 상당수는 이미 공개된 CVE나 업스트림에서 수정된 코드에서 온 것 같음
요즘은 “0-day”라는 용어가 대부분 의미를 잃었고, 사람들이 어떤 익스플로잇이든 가리키는 데 쓰는 경우가 많아 보임

저장소는 이렇게 주장함
“공개 익스플로잇 PoC와 취약점 연구 글의 단일 아카이브다. 내가 올리는 시점에는 아무것도 보고되지 않았다. 직접 보고하고 CVE가 나오면 공을 가져가도 된다 lulz. 악용하지 말라. 더 많은 사람을 이 분야로 끌어들이려고 이렇게 하며, 항상 이 방식이 가장 효율적이라고 봤다”
대략 제로데이의 정의에 가깝긴 함. 저장소 내용이 그 주장과 맞는지는 완전히 별개의 문제임

이런 상황에서는 RCE도 의미가 없어졌음. “원격”이라는 부분은 보통 의미가 있다면 SSH root 세션 정도를 뜻함

AI가 이런 걸 찾을 만큼 충분히 정교해지면서 이런 자료가 한동안 쏟아질 것임. 진짜 취약점들이 수정되면 자연스럽게 줄어들 것이라고 봄
물론 어느 정도는 항상 남겠지만, 수준은 낮아지고 발견되는 익스플로잇은 점점 더 복잡해질 것으로 예상함. 지금은 전환기임

“AI가 충분히 똑똑해져서 찾는다”는 표현은 오해를 부른다고 봄. “똑똑해지는” 게 아니라 특정 용도에 더 맞춰지고, 더 잘 선별된 데이터셋, 더 나은 하네스, 더 나은 프롬프트, 더 나은 결과 라벨링, 실패와 성공의 문서화가 쌓이는 것임
결과는 전반적으로 나아지길 바라지만, 이런 의인화된 표현은 AI 자체가 somehow 변하거나 진화하는 것처럼 들리게 함
실제로는 기초 연구를 하는 학계, 상용화하는 업계, 도구와 과정을 서비스로 묶는 보안 연구자들이 적극적으로 더 낫게 만들고 있음. 독립된 “그것”은 없음

이미 그 단계 한가운데 있는 것 같지만, 줄어들기보다는 “보고”가 더 시끄럽고 모호해져서 실제 위협 수준이나 공격 벡터를 판단하기가 더 어려워졌음

모든 소프트웨어 업데이트는 그런 취약점을 새로 만들거나 다시 들여옴

솔직히 실행 복잡도도 시간이 갈수록 점점 낮은 장벽이 되고 있음

누군가가 대규모 언어 모델을 돌리고 결과를 공개하는 것처럼 보임. “시스템 바이너리를 바꾸면 임의 코드 실행!” 같은 우스운 것부터 진짜일 수 있는 것까지 폭넓게 섞여 있어서 그렇게 보임
LLM에 “익스플로잇을 찾고 PoC를 작성해” 같은 프롬프트를 던지면 흔히 나오는 결과임
지난 15년간의 Metasploit 보고서로 학습시키면, 사람들이 새 코드에 다시 써넣은 같은 버그를 찾을 수 있을 것 같음
[1] https://en.wikipedia.org/wiki/Metasploit

어떤 상황에서도 이 저장소의 자료를 악의적으로 사용하지 말라는 문구가 있음. 선의의 공개 취약점 연구이며, 더 많은 사람이 이 사이버보안 영역을 탐색하는 데 관심을 갖게 하려는 목적이라고 함
The Anarchist Cookbook의 어떤 조리법 앞에 있던 “이건 정말 위험하니 절대 하지 마라. 하는 방법은 이렇다” 같은 메시지가 떠오름

예전 책에는 “…악의적으로”라는 말은 없지 않았나?

보안 취약점으로는 꽤 인상적이지 않음. 대부분은 그냥 단순한 버그라고 말하는 편이 낫겠음

동의하지 않음. FFmpeg 코드 실행은 정말 악랄함

모든 취약점은 결국 그냥 버그임

기존 CVE를 다시 쓴 복사본들과 새로 나온 낮은 심각도의 것들이 섞여 있는 것처럼 보임. 낮은 심각도라고 부르는 이유는 사용자가 이미 본질적으로 위험한 행동을 해야 하는 것처럼 보이기 때문임
빠르게 훑어본 2센트 의견임
그래도 흥미로운 발견들인 건 맞음. 일부는 체이닝하면 더 심각해질 수 있다고 봄
예를 들어 ovpn 건과 Windows에서 VPN 앱을 기본 열기 앱으로 등록하거나, openvpn:// 같은 URL 위치의 프로토콜 열기 프로그램으로 등록한 뒤 iframe과 교묘한 사회공학을 엮는 식이 가능할 수도 있음. 그냥 떠오른 생각임

그게 혼란스러운 지점임. 일부는 낮은 수준의 잡음 같지만, 일부는 진짜 치명적임 Floci, libssh2, c-ares, FFmpeg, PHP 건은 모두 진짜로 보임
반면 Ghidra 건은 그다지 아님. 이게 반쯤 진행된 연구 폴더였고, 그냥 그대로 공개한 건 아닌가 싶음