기술 지원
문서
로그인
문의하기
게임 모드에서 악용되는 도타 2 심각도 높은 결함
2023년 2월 22일 TuxCare 홍보팀
도타 2의 한 게임 모드가 심각도가 높은 취약점을 악용하여 공격자가 표적 시스템에서 원격으로 코드를 실행할 수 있게 했습니다. 이 결함은 2022년 9월에 발견되었지만 2023년 1월까지 패치가 적용되지 않아 도타 2 플레이어가 공격에 취약한 상태로 방치되었습니다.
이 버그는 플레이어가 자신만의 도타 2 게임을 만들 수 있는 게임의 사용자 지정 게임 모드 기능에서 발견되었습니다. 사용자 지정 게임 모드 코드의 결함으로 인해 공격자가 표적 시스템에서 임의의 코드를 실행할 수 있게 되어 취약점이 발생했습니다.
취약점 CVE-2021-38003은 도타 2에 포함된 구글의 오픈 소스 자바스크립트 엔진 V8에서 발견되었습니다. 구글은 2021년 10월에 이 취약점을 패치했지만, 도타 2 개발사인 밸브는 연구원들이 이 심각한 취약점에 대해 비공개로 경고한 후인 지난달까지 패치된 V8 엔진을 사용하도록 소프트웨어를 업데이트하지 않았습니다.
Avast 연구원들은 이 문제를 발견하고 게임 개발사인 Valve에 보고했습니다. Valve는 즉시 게임 코드를 새로운(패치된) V8 버전으로 업데이트하고 악성 게임 모드를 Steam 온라인 스토어에서 제거했습니다. Avast에 따르면 이 게임 회사는 또한 백도어를 다운로드한 소수의 사용자에게 이 문제를 알리고 도타 2의 공격 표면을 줄이기 위해 불특정 "기타 조치"를 시행했다고 합니다.
이 취약점을 악용한 게임 모드는 "Overthrow II"였습니다. 이 게임 모드는 플레이어가 커스텀 게임 모드를 다른 플레이어와 공유할 수 있는 플랫폼인 Steam 창작마당에서 사용할 수 있었습니다. 이 게임 모드는 2,500명 이상의 플레이어가 다운로드했으며, Valve에서 삭제한 2023년 1월까지 Steam 창작마당에 계속 제공되었습니다.
밸브의 Steam 스토어에 코드를 업로드한 사람은 도타 2에서 플레이어가 다양한 방식으로 게임을 커스터마이징할 수 있다는 점을 이용했습니다. Avast에 따르면 Dota의 게임 엔진은 기본적인 프로그래밍 기술만 있으면 누구나 웨어러블, 로딩 화면, 채팅 이모티콘, 심지어 전체 사용자 지정 게임 모드 또는 새로운 게임과 같은 사용자 지정 아이템을 만들 수 있습니다. 그런 다음 이러한 사용자 지정 아이템을 Steam 스토어에 업로드하면 다른 플레이어가 다운로드하여 사용할 수 있도록 하기 전에 부적절한 콘텐츠가 있는지 확인합니다.
도타 2의 개발사인 Valve는 2023년 1월에 보안 업데이트를 통해 이 취약점을 해결했습니다. 밸브는 잠재적인 공격으로부터 자신을 보호하기 위해 도타 2 플레이어에게 가능한 한 빨리 게임을 최신 버전으로 업데이트할 것을 권고했습니다.
이번 사건은 잘 알려진 게임도 보안 결함에 취약할 수 있다는 사실을 일깨워주며 적시에 패치를 적용하고 업데이트하는 것이 중요하다는 점을 강조합니다. 플레이어는 항상 게임을 업데이트하고 신뢰할 수 없는 출처에서 커스텀 게임 모드를 다운로드하지 않아야 합니다.
이 글의 출처는 ArsTechnica의 기사입니다.
