Un investigador de seguridad conocido en Twitter como Florian, descubrió un fallo crítico en Source Engine, el motor de videojuegos que usa el famoso Counter Strike: Global Offensive de Valve, y otros juegos como Half-Life 2, Left 4 Dead, Team Fortress 2, etc.
Florian reportó el bug a Valve a través de HackerOne hace dos años, la plataforma de recompensas que utiliza la empresa para obtener reportes sobre vulnerabilidades. Sin embargo, según lo que explicó el investigador a Vice, a pesar de que Valve admitió que se trataba de un fallo crítico, todavía no lo han solucionado.
Un exploit que funciona el 80% del tiempo y que puede esparcirse casi como un gusano
Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX
— secret club (@the_secret_club) April 10, 2021
El bug, que ha sido solucionado en otros juegos que usan el motor Source, sigue presente en CS:GO, y puede ser explotado para tomar control total del ordenador de la víctima a través de una simple invitación de Steam para jugar el juego.
Florian explica que fue capaz de crear un exploit para aprovecharse del bug y que este funciona el 80% del tiempo según sus cálculos. Además de esto, según el hacker, es posible convertir el exploit en un arma, ya que una vez que infectas a alguien, puedes infectar a sus amigos y así sucesivamente "casi como si fuese un gusano".
Estamos hablando de un juego que es uno de los pesos pesados de Steam, un multijugador que ha llegado a alcanzar casi 20 millones de usuarios simultáneos y que en estos momentos tiene un hueco de seguridad crítico que pone en riesgo a millones de jugadores.
Valve ignoring security researchers is not just specific to the secret club. Here we see Bien Pham demonstrate his Remote Code Execution exploit that has not been patched for over a year. https://t.co/5Ecz1Gw4Jx
— secret club (@the_secret_club) April 12, 2021
Florian forma parte de The Secret Club, un grupo sin fines de lucro que se dedica a la ingeniería inversa y a la investigación de software. El grupo en cuestión ha estado compartiendo en Twitter otros bugs que sus miembros han descubierto en software de Valve, y que han sido ignorados por más de un año.
Este tipo de problemas son cada vez más frecuentes con Valve. De hecho, ha habido múltiples incidentes notables en los últimos años. Tenemos el famoso exploit que puso en riesgo a los usuarios por 10 largos años. O, cómo en 2018 supimos de un magistral bug que permitía obtener las claves de activación de cualquier videojuego, que nunca supimos si se llegó a explotar y a que nivel.
En 2019 hubo una polémica mayor cuando investigadores descubrieron una vulnerabilidad en Steam que permitía ejecutar malware desde nuestro ordenador y afectaba a todos los usuarios de Windows. La polémica se dio porque tras hacer público el fallo, Valve hizo que expulsaran a los investigadores de HackerOne porque según ellos "no cumplía las reglas del programa".
Valve terminó admitiendo que fue un error expulsar al investigador, pero igual se quedó expulsado y nunca se comunicaron con él. Con este nuevo bug, The Secret Club ha querido dejar en evidencia que lo de Valve ignorando a los investigadores de seguridad es un patrón y no un caso aislado.