Un grupo de investigadores de seguridad conocido como Secret Club acudió a Twitter para informar de un error de ejecución remota de código en el motor de juego Source 3D desarrollado por Valve y utilizado para crear juegos con decenas de millones de jugadores únicos.
Como la vulnerabilidad está en el motor del juego, todos los productos creados con Source se ven afectados y requieren un parche para eliminar el riesgo para los usuarios.
Uno de los investigadores del grupo dice que revelaron la vulnerabilidad de Valve hace unos dos años, pero sigue afectando la última versión de Counter Strike: Global Offensive (CS: GO).
Algunos de los juegos que utilizan el motor Source de Valve incluyen Counter-Strike, Half-Life, Half-Life 2, Garry’s Mod, Team Fortress, Left 4 Dead y Portal.
Lo que molesta al grupo es que después de todo este tiempo no pueden publicar los detalles técnicos sobre el error porque el error todavía afecta a algunos juegos.
Recompensa pagada, error aún activo
Florian , un estudiante apasionado por la ingeniería inversa, informó sobre la falla de ejecución remota de código (RCE) hace dos años a través del programa de recompensas de errores de Valve en HackerOne.
Le dijo a BleepingComputer que la vulnerabilidad es una corrupción de la memoria en el código del motor fuente, por lo que está presente en varios títulos de juegos. Las excepciones son los juegos creados con Source 2 o aquellos que ejecutan una versión modificada del motor Source, como Titanfall.
Proporciona una verdadera integración y automatización en la infraestructura de seguridad de una organización, brindando una protección y visibilidad sin igual a cada segmento de red, dispositivo y equipo, ya sea virtual, en la nube o local.
Sin embargo, entre los juegos afectados se encuentra CS: GO, cuya última actualización fue el 31 de marzo. El mes pasado, el juego contó con cerca de 27 millones de jugadores únicos, según las estadísticas de la página del juego .
En una conversación con BleepingComputer, Florian dijo que CS: GO todavía tenía el código fuente vulnerable el 10 de abril y que el error podría aprovecharse para ejecutar código arbitrario en una máquina que ejecuta el juego.
Hizo un video de demostración que muestra cómo un atacante podría aprovechar la vulnerabilidad y ejecutar código en una computadora objetivo simplemente enviando una invitación de juego de Steam a la víctima.
Lo último que Florian escuchó de Valve fue hace unos seis meses, cuando Valve le pagó una recompensa y dijo que estaba en proceso de solucionar el problema y que lo había abordado en un juego específico usando el motor Source.
El investigador no reveló qué juego recibió la corrección, pero nos dijo que pudo confirmar las acciones de Valve.
Florian es miembro del Secret Club , un grupo sin fines de lucro de ingenieros inversos que se quejó en Twitter porque Valve tardó tanto en abordar el problema en todos los juegos.
Algunos programas de recompensas de errores en HackerOne tienen una política que permite a los investigadores revelar exploits o vulnerabilidades si una solución no está disponible después de un período razonable como 90 o 180 días. Valve no está entre ellos .
Si bien Valve no evita activamente que Florian comparta los detalles, el investigador tiene principios éticos sólidos y sabe que la divulgación completa pondría en riesgo a millones de usuarios.
Los investigadores afirman que Valve ignora los informes
Carl Schou, miembro destacado del Club Secreto, le dijo a BleepingComputer que un atacante podría aprovechar esta vulnerabilidad de RCE para robar información confidencial como credenciales o información bancaria.
Secret Club ha publicado varios videos que muestran exploits de errores RCE en CS: GO de varios investigadores que afirman que Valve los ignoró durante largos períodos, desde cinco meses hasta un año.
BleepingComputer se comunicó con Valve hoy temprano para comentar sobre la divulgación de la vulnerabilidad de Florian a través de HackerOne, pero no ha tenido noticias de la compañía al momento de la publicación. Actualizaremos el artículo cuando esté disponible una declaración de Valve.
Fuente:bleepingcomputer.com
