🗓️ Contexte

Publié le 29 juin 2026 par The Register, cet article rapporte la divulgation publique non coordonnée d’exploits zero-day par un chercheur anonyme se faisant appeler bikini, via un dépôt GitHub nommé exploitarium (depuis supprimé).

🎯 Nature de l’incident

Le chercheur a publié du code d’exploitation fonctionnel pour des vulnérabilités zero-day affectant 15 produits logiciels et projets open source, sans notification préalable d’aucun éditeur ni mainteneur. Deux de ces vulnérabilités font l’objet d’une exploitation active au moment de la publication.

🔴 Vulnérabilités critiques confirmées

  • CVE-2026-55200 : RCE pré-authentification critique dans libssh2 (bibliothèque C client SSH2). Des attaquants distants peuvent envoyer des paquets SSH avec des valeurs packet_length excessivement grandes pour corrompre la mémoire heap et exécuter du code arbitraire. Un correctif a été fusionné dans la branche principale mais aucune release officielle n’est encore disponible.
  • CVE-2026-20896 : Contournement d’authentification critique dans Gitea (déploiements Docker auto-hébergés), permettant à un attaquant non authentifié d’usurper l’identité de n’importe quel utilisateur et de prendre le contrôle total du serveur Git. Corrigé dans Gitea 1.26.3.

📦 Produits concernés

libssh2, Splunk, RustDesk, 7-Zip, VLC, AnyDesk, OpenVPN, c-ares, Gitea, Floci (liste non exhaustive).

🤖 Méthode de découverte supposée

L’analyste Ethan Andrews (Federal Signal) suggère que bikini aurait utilisé GPT-5.5 Codex pour automatiser le fuzzing et la découverte de vulnérabilités. Certaines divulgations ont été qualifiées par la communauté de « bruit de fuzzing IA à faible impact ».

📊 Réponse de la communauté

  • Ethan Andrews a produit 44 règles de détection KQL couvrant l’ensemble du dépôt exploitarium, avec traduction pour les stacks non-KQL.
  • Les découvertes les plus significatives (heap write pré-auth libssh2, auth bypass Gitea Docker) ont été indépendamment vérifiées comme à haut risque avec exploitation active observée.
  • Le dépôt GitHub a été supprimé mais le contenu reste accessible.

📰 Type d’article

Article de presse spécialisée rapportant une divulgation publique non coordonnée de vulnérabilités zero-day avec exploitation active, à destination des équipes de sécurité et de la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • bikini (unknown) —
  • Nightmare Eclipse (unknown) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1212 — Exploitation for Credential Access (Credential Access)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)

IOC

Malware / Outils

  • GPT-5.5 Codex (tool)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 4112 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : bikini, Nightmare Eclipse (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/security/2026/06/29/anonymous-researcher-drops-0-day-exploitarium-repo/5263961