Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Se explota un fallo de alta gravedad en el modo de juego de Dota 2
Obanla Opeyemi
22 de febrero de 2023 - Equipo de expertos TuxCare
Un modo de juego de Dota 2 explotaba una vulnerabilidad de alta gravedad que permitía a los atacantes ejecutar código de forma remota en el sistema atacado. El fallo se descubrió en septiembre de 2022, pero estuvo sin parchear hasta enero de 2023, dejando a los jugadores de Dota 2 vulnerables a los ataques.
El fallo se descubrió en la función de modo de juego personalizado del juego, que permite a los jugadores crear sus propias partidas de Dota 2. Un fallo en el código del modo de juego personalizado permitía a un atacante ejecutar código arbitrario en el sistema objetivo, dando lugar a la vulnerabilidad.
La vulnerabilidad, CVE-2021-38003, se descubrió en el motor JavaScript de código abierto V8 de Google, que se incluye en Dota 2. Aunque Google parcheó la vulnerabilidad en octubre de 2021, el desarrollador de Dota 2, Valve, no actualizó su software para utilizar el motor V8 parcheado hasta el mes pasado, después de que los investigadores alertaran en privado a la empresa de la vulnerabilidad crítica.
Los investigadores de Avast descubrieron el problema y se lo comunicaron a Valve, el desarrollador del juego. Valve actualizó inmediatamente el código del juego a una nueva versión (parcheada) de V8, y los mods fraudulentos se eliminaron de su tienda en línea Steam. Según Avast, la empresa de juegos también notificó el problema al pequeño número de usuarios que descargaron el backdoor e implementó "otras medidas" no especificadas para reducir la superficie de ataque de Dota 2.
"Overthrow II" era el modo de juego que explotaba la vulnerabilidad. El modo de juego estaba disponible en Steam Workshop, una plataforma en la que los jugadores pueden compartir modos de juego personalizados con otros. El modo de juego fue descargado por más de 2.500 jugadores y permaneció disponible en Steam Workshop hasta enero de 2023, cuando fue retirado por Valve.
La persona que subió el código a la tienda Steam de Valve aprovechó el hecho de que Dota 2 permite a los jugadores personalizar el juego de diversas maneras. Según Avast, el motor de juego de Dota permite a cualquier persona con conocimientos básicos de programación crear elementos personalizados como accesorios, pantallas de carga, emojis de chat e incluso modos de juego personalizados o nuevas partidas. A continuación, pueden subir esos elementos personalizados a la tienda de Steam, que los comprueba en busca de contenido inapropiado antes de ponerlos a disposición de otros jugadores para su descarga y uso.
Valve, la compañía detrás de Dota 2, abordó la vulnerabilidad con una actualización de seguridad en enero de 2023. Para protegerse de posibles ataques, la empresa aconsejó a los jugadores de Dota 2 que actualizaran su juego a la última versión lo antes posible.
El incidente sirve de recordatorio de que incluso los juegos más conocidos son susceptibles de sufrir fallos de seguridad, y subraya la importancia de aplicar parches y actualizaciones a tiempo. Los jugadores deben actualizar siempre sus juegos y evitar descargar modos de juego personalizados de fuentes poco fiables.
Las fuentes de este artículo incluyen un artículo en ArsTechnica.
