Valven Source-pelimoottorissa on vakava haavoittuvuus – pelaajan tietokone voidaan ottaa haltuun
Valven kehittämästä Source Engine -pelimoottorista on löytynyt vakava haavoittuvuus. Pahimmillaan käyttäjän kone saattaa joutua hyökkääjän haltuun.
Source Engine -pelimoottoria käytetään muun muassa Counter-Strike: Global Offensive, Dota 2 ja Team Fortress 2 -peleissä. Haavoittuvuuden löytänyt tietoturvatutkija Florian ilmoitti haavoittuvuudesta Valvelle jo vuonna 2019. Hänen mukaansa bugi on korjattu jo melkein kaikista pelimoottoria käyttävistä peleistä, mutta se on edelleen läsnä valtavaa suosiota nauttivassa Counter-Strike: Global Offensivessa.
Florian sanoi koodanneensa työkalun, jonka avulla haavoittuvuuden hyödyntäminen toimii 80 prosentissa yrityksistä. Hän varoitti hyökkääjien pystyvän myös valjastamaan käyttäjien tietokoneita tekemään lisää hyökkäyksiä muiden käyttäjien tietokoneisiin.
Haavoittuvuus toimii Steam-kutsun kautta. Jos käyttäjä klikkaa hyökkääjän kutsuun, kyberrikollinen saattaa päästä tietokoneeseen käsiksi. Erään Twitter-käyttäjän mukaan hyökkäysviesteissä on ollut ainakin teksti: ”hey we need one extra team member for competition”.
Tietoturvaongelmia tutkiva ryhmä Secret Club on närkästynyt Valvelle sen saamattomuudesta korjata haavoittuvuuksia. He kertoivat esimerkkinä haavoittuvuudesta, josta he kertoivat Valvelle jo viisi kuukautta sitten, eikä Valve ole vastannut heille mitenkään. Heidän mukaansa Valve ei välitä peliensä tietoturvasta.
Third times a charm; @the_secret_club member mev showcases their remote code execution 0-day for CS:GO. This has been reported to Valve 5 months ago with no response from Valve. pic.twitter.com/Jw8icRPh3j
— secret club (@the_secret_club) April 10, 2021
