Um grupo de pesquisadores de segurança conhecido como The Secret Club identificou vulnerabilidades críticas que permitem execução de código remoto (RCE) na tecnologia de desenvolvimento de games Source 3D, da Valve. A tecnologia Source 3D é o motor por trás dos jogos Counter-Strike, Half-Life, Garry's Mod, Team Fortress, Left 4 Dead e Portal.
- Ataques contra servidores Microsoft Exchange crescem 1028% em uma semana
- Google Chrome corrige 5 vulnerabilidades zero day em atualização de emergência
- Vulnerabilidade crítica é identificada no PJeOffice, software do Conselho Nacional de Justiça
Ao executar código remotamente, um cibercriminoso pode acessar e roubar informações confidenciais, como dados de desenvolvimento e até mesmo credenciais e informações bancárias de usuários (jogadores).
No Twitter, o grupo já publicou diversos conteúdos e vídeos demonstrando as vulnerabilidades, mas sem mostrar demais, já que, segundo eles, a Valve, embora tenha corrigido o problema em alguns jogos, continua sem atualizar o Counter Strike: Global Offensive (CS:GO), um dos jogos mais populares da empresa.
De acordo com o BleepingComputer, que entrou em contato com um membro do grupo, mesmo depois de todo esse tempo, os pesquisadores não podem fazer relatórios detalhados das vulnerabilidades, pois elas ainda não foram corrigidas e alguns jogos ainda são afetados.
A primeira vulnerabilidade foi relatada por Florian, um dos membros do grupo, através do programa de bug bounty da HackerOne, em junho de 2019. A recompensa foi paga no final de 2020, mas o pesquisador ainda não foi informado do andamento das correções.
Em entrevista ao BleepingComputer, Florian revelou que a última notícia da Valve sobre caso foi dada no final de 2020, quando foi pago o valor combinado pela recompensa.
A Valve é uma das empresas cadastradas no programa de bug bounty da HackerOne que não permite que pesquisadores detalhem vulnerabilidades ainda não corrigidas, mesmo após um tempo de 90 a 180 dias. O BleepingComputer entrou em contato com a Valve, mas ainda não obteve resposta.
Fontes: BleppingComputer; The Secret Club.