libssh2 kütüphanesinde keşfedilen CVE-2026-55200 kodlu kritik güvenlik açığı, kötü niyetli veya ele geçirilmiş bir SSH sunucusunun bağlanan istemcide bellek bozulmasına ve potansiyel kod çalıştırmaya yol açabiliyor. Bu açık, kullanıcı etkileşimi veya kimlik bilgisi gerektirmiyor ve 1.11.1 sürümüne kadar olan tüm libssh2 versiyonlarını etkiliyor.
Güvenlik Açığının Teknik Detayları
libssh2, istemci tarafında kullanılan bir SSH kütüphanesi ve sunucu değil. Bu ayrım kritik; çünkü curl, Git, PHP, yedekleme ajanları ve donanım güncelleyiciler gibi birçok farklı yazılımda gömülü olarak kullanılıyor. Bu da, libssh2 kullanan ve güvenilmeyen SSH sunucularına bağlanan her yazılımın risk altında olduğu anlamına geliyor.
Açık, SSH bağlantısının el sıkışma aşamasında paket uzunluğunu işleyen ssh2_transport_read() fonksiyonundaki sınır kontrolü eksikliğinden kaynaklanıyor. Paket uzunluğu alanı, sadece 1’den küçük değerler reddedilirken, üst sınır kontrolü yapılmıyor. Böylece 0xffffffff gibi çok büyük bir uzunluk değeri 32 bit işlemde taşma yaparak küçük bir sayıya dönüşüyor ve libssh2 bu hatalı boyutta bir tampon ayırıyor. Ardından gelen devasa paket, ayrılan tamponun dışına yazılıyor ve bellek taşmasına sebep oluyor.
Bu durum, klasik bir integer overflow’dan buffer overflow’a dönüşerek kötü amaçlı kodun çalıştırılması için zemin hazırlıyor (CWE-680). Sorunu gideren güncelleme, paket uzunluğu değerini LIBSSH2_PACKET_MAXPAYLOAD sınırına göre kontrol ederek aşırı değerleri reddediyor.
Geçmişte Benzer Açıklar ve Yeni PoC
libssh2 bu tür integer overflow hatalarıyla daha önce de karşılaşmıştı. 2019’da yayınlanan 1.8.1 sürümüyle, benzer bir taşma açığı olan CVE-2019-3855 kapatılmıştı. Şimdi, yedi yıl sonra aynı kod parçasında benzer bir zafiyet yeniden ortaya çıktı.
Güvenlik araştırmacısı Tristan Madani tarafından rapor edilen sorun, 12 Haziran’da yapılan pull request #2052 ile ana kaynağa dahil edildi. CVE ise 17 Haziran’da duyuruldu.
PoC kodları, exploitarium adlı GitHub deposunda yayımlandı; burada yer alan araçlar, sadece yerel testlerde doğrulanmış bir tetikleyici ve kontrol edilebilir RCE iskeleti sunuyor. Henüz tam işleyen, uzaktan istismar edilebilen bir exploit yok. Canlı sistemlerde kod çalıştırmak hedef uygulamanın yapısına, bellek yöneticisine ve kullanılan güvenlik önlemlerine bağlı.
Risk Altındaki Sistemler ve Tavsiyeler
PoC’nin eksik ve yapay zekayla desteklenen bazı test girdileri içerdiği belirtiliyor. Şu an için CISA’nın istismar derecelendirmesi “yok” olarak görünüyor ve sahada kullanım rapor edilmedi.
Henüz resmi bir libssh2 sürüm güncellemesi yayınlanmadı. Ancak, yama ana kaynakta mevcut ve çeşitli Linux dağıtımları ile projeler, kendi paketlerine entegre ediyor. Debian gibi bazı sistemlerde düzeltilmiş paketler test aşamasında.
SSH bağlantıları yapan tüm uygulamalarda libssh2’nin statik veya paketlenmiş kopyaları kontrol edilmeli; curl, Git ve PHP öne çıkan örnekler arasında. Güncelleme gelene dek, dışa dönük SSH bağlantıları sadece güvenilir sunucularla sınırlandırılmalı ve host anahtarları doğrulanmalı. Ani istemci çöküşleri veya anormal paket boyutları dikkatle izlenmeli.
Bu zafiyetle bağlantılı olarak, yakın zamanda ortaya çıkan diğer iki güvenlik açığına da dikkat edilmesi öneriliyor: CVE-2026-55199 (CPU döngüsüne sokan DoS) ve CVE-2025-15661 (SFTP’de heap over-read). Bunlar da libssh2’nin aynı kaynak kodundaki farklı kusurlar.
Önerilen Önlemler ve İzleme
Güvenlik ekipleri, bağlantı günlüklerinde anormal paket boyutları ve istemci tarafı çökmelerini takip etmeli. EDR ve SIEM sistemlerine, özellikle libssh2 kullanan uygulamalardan gelen SSH bağlantılarına odaklı kurallar eklemek faydalı olacaktır. Ayrıca, bulut güvenliği ve ağ segmentasyonu uygulamalarıyla, kritik istemcilerin dışa dönük bağlantıları sıkılaştırılmalı.
Sonuç olarak, bu açık ön oturum belleği bozulması sınıfında ve birçok istemci ile cihazda gömülü. Kapsamlı envanter çalışması yapmadan riskin tam boyutunu anlamak zor. Bu durum, kurumların olay müdahale ve yamalama süreçlerini hızlandırmaları için önemli bir uyarı niteliğinde.