Группа ИБ-исследователей, известная под названием Secret Club, заявляет, что игры компании Valve, построенные на движке Source, подвержены RCE-уязвимости.
On the topic of our previous thread, we have @brymko @cffsmith @scannell_simon showcasing their remote code execution 0-day for CS:GO. This has been reported to Valve months ago, but they have neither paid them nor acknowledged the exploit. pic.twitter.com/yGUJTZZzrO
— secret club (@the_secret_club) April 10, 2021
Один из исследователей говорит, что инженерам Valve сообщили об этой проблеме около двух лет назад, но баг все еще не устранен, и его можно эксплуатировать в новейшей версии Counter Strike: Global Offensive (CS: GO). Среди других игр, которые используют движок Source, можно перечислить Half-Life, Half-Life 2, Garry's Mod, Team Fortress, Left 4 Dead и Portal.
Участники Secret Club расстроены тем, что они по-прежнему не могут обнародовать технические детали уязвимости, так как она все еще влияет на некоторые игры компании. Хотя принятые в таких случаях 90 дней на исправление ошибки давно прошли, специалисты придерживаются строгих этических принципов и не делятся подробностями проблемы, ведь раскрытие информации поставит под угрозу миллионы пользователей.
Увлеченный реверс-инжинирингом студент, известный как Флориан, рассказал журналистам, что еще два года назад он уведомил Valve о проблеме через HackerOne. Уязвимость в движке связана с повреждением информации в памяти и присутствует во многих играх Valve. Исключением являются игры, построенные на базе Source 2, например, Titanfall. Последний раз Флориан получал ответы от Valve около шести месяцев назад, когда компания выплатила ему вознаграждение и заявила, что работает над исправлением ошибки и уже решила ее в одной конкретной игре на движке Source (в какой именно, неизвестно).
Ситуация усугубляется тем, что проблема затрагивает CS: GO, последнее обновление которой было выпущено 31 марта текущего года. Дело в том, что игра привлекает порядка 27 миллионов уникальных игроков ежемесячно, а уязвимость может использоваться для запуска произвольного кода на машине пользователя. И по состоянию на 10 апреля 2021 года CS: GO все еще была уязвима.
Видео ниже демонстрирует, как злоумышленник может воспользоваться багом и выполнить код на целевом компьютере, просто отправив жертве приглашение в игру Steam.
Флориан подтверждает, что в одной из игр дефект действительно был исправлен, но он тоже не раскрывает названия этой игры:
«Мы намеренно не упомянули об этом, потому что мы не хотим, чтобы люди искали патч в бинарных файлах игры, ведь это значительно облегчило бы усилия по созданию эксплоита для всех других непатченных игр».
Карл Скоу (Carl Schou), один из ключевых участников Secret Club, рассказал Bleeping Computer, что злоумышленник может использовать уязвимость для кражи конфиденциальной информации жертвы, включая учетные данные или банковские данные.
Secret Club выложили уже несколько видеороликов от нескольких исследователей, демонстрирующих эксплуатацию RCE в CS: GO. К примеру, в ролике ниже показано использование уязвимости во время присоединения к вредоносному community-серверу.
Компания Valve пока никак не прокомментировала заявления специалистов и ситуацию с патчами.