Manje od godinu dana nakon što je identificirao sigurnosne ranjivosti u NASA-inom softveru, suosnivač ThreatLeapa Leon Juranić sada ih je pronašao u podatkovnom formatu HDF5, a njega koriste neke od organizacija s najzahtjevnijom obradom podataka na svijetu, poput NASA-e, CERN-a i ESA-e, ali i kompanije poput SpaceX-a, Googlea i Mete, kao i financijske institucije i sustavi umjetne inteligencije.

Riječ je, dakle, o sustavu koji nije dio svakodnevnog života prosječnog korisnika, ali čini temelj brojnih kompleksnih infrastruktura. Otkrivena ranjivost mogla je, u određenim okolnostima, omogućiti napadačima preuzimanje kontrole nad sustavima i pristup visoko osjetljivim podacima.

Problem koji je Juranić otkrio odnosi se na način na koji sustav obrađuje posebno oblikovane datoteke jer naizgled bezopasna H5 datoteka može, ako je zlonamjerno kreirana, otvoriti vrata ozbiljnom napadu.

'Ova ranjivost omogućava napadaču neplanirano manipuliranje memorijom uz pomoć maliciozne H5 datoteke koja, kad se procesira programom h5import, može uzrokovati prelijevanje međuspremnika, prepisivanje podataka u memoriji i manipulaciju memorijom programa s ciljem potencijalnog izvršavanja malicioznog koda u sustavu, odnosno računalu onoga tko učita tu posebno oblikovanu datoteku', objašnjava Juranić u razgovoru za tportal.

Prema dostupnim informacijama, ranjivost se temelji na tzv. stack buffer overflowu, propustu u alatu h5import, dijelu ekosustava HDF5. Takav tip greške omogućuje prepisivanje memorije, što napadač može iskoristiti za izvršavanje svog koda.

Kako Juranić tumači, u praksi to znači da je za napad dovoljna posebno oblikovana zlonamjerna datoteka. Ako je sustav ranjiv, njezino otvaranje može dovesti do potpune kompromitacije – od krađe istraživačkih podataka do pristupa internim mrežama.

Iako moderni operativni sustavi koriste zaštitne mehanizme poput ASLR-a, Juranić je demonstrirao metodu parcijalnog prepisivanja memorije kojom se te zaštite mogu zaobići.

U najgorem scenariju, kaže, napadač bi mogao preuzeti kontrolu nad sustavom žrtve, a ova ranjivost primarno pogađa velike organizacije i institucije koje koriste HDF5 u znanstvene i istraživačke svrhe. Napad bi u praksi mogao izgledati vrlo jednostavno.

'Izveo bi se slanjem naizgled benigne datoteke žrtvi, no kad se ona učita, potencijalno je moguće preuzeti kontrolu nad sustavom žrtve i izvršiti proizvoljni kod u njemu', navodi. Iza takvog napada stoji ozbiljna razina znanja. 'Za iskorištavanje ranjivosti potrebna je viša razina stručnosti, a netko s osnovnim znanjem teško da bi bio u stanju kompletno provesti ovakav napad', dodaje.

'Stara škola' protiv automatiziranih alata

Juranić, koji iza sebe ima više od 25 godina iskustva u industriji i osnivač je tvrtki DefenseCode i ThreatLeap, tvrdi da je identificirao ranjivost u svega nekoliko sati rada. 'Nakon više od dva desetljeća u industriji danas rjeđe radim ovakva istraživanja, no želio sam pokazati da manualna analiza koda i dalje može nadmašiti automatizirane alate', poručio je.

Dodaje da je riječ o pristupu koji se sve rjeđe koristi u eri automatiziranog testiranja sigurnosti, ali i dalje ima ključnu vrijednost u otkrivanju kompleksnih propusta.

Ranjivost je prijavljena organizaciji koja razvija HDF5, HDF Groupu, još u srpnju 2025. godine, a javna objava uslijedila je tek u travnju 2026., nakon što je proizvođaču ostavljeno dovoljno vremena da razvije i distribuira sigurnosne zakrpe. Takav pristup, poznat kao odgovorno otkrivanje (responsible disclosure), standard je u industriji kibernetičke sigurnosti te je ključan za zaštitu korisnika, tumači Juranić.

'Činjenica da u 2026. godini visokoprofilni program kao što je HDF5 sadrži školski primjer sigurnosne ranjivosti za prelijevanje međuspremnika (stack buffer overflow), koji se uči na početnim tečajevima za hakiranje, je – zastrašujuća', upozorava Juranić i ističe:

'Visokoprofilne organizacije i softver kao što je HDF5 po mojem mišljenju ne bi si smjeli dozvoliti da ovakve bazične ranjivosti godinama nezakrpane leže u njihovom izvornom kodu i otvorene kao pozivnica za napade malicioznih hakera.'

Softver u pozadini kritične infrastrukture

HDF5 nije široko poznat izvan stručnih krugova, ali čini temelj infrastrukture za obradu velikih količina podataka – od svemirskih misija i fizike čestica do financijskih tržišta i razvoja umjetne inteligencije. Stoga, pojašnjava Juranić, ovakvi propusti imaju potencijalno dalekosežne posljedice.

Jedna pogreška u kodu, kako pokazuje ovaj slučaj, može otvoriti vrata sustavima koji upravljaju znanstvenim eksperimentima, industrijskim procesima ili osjetljivim istraživanjima.

Juranić je i ranije identificirao sigurnosne propuste u softveru velikih tehnoloških kompanija i institucija, uključujući sustave povezane s Appleom, Ciscom i IBM-om. Njegova istraživanja, uključujući rad o tzv. Unix wildcard napadima, i danas se koriste u edukaciji sigurnosnih stručnjaka.