Valve estuvo más de 15 meses sin parchear una vulnerabilidad de Dota 2

Cuando un motor JavaScript se utiliza a través de un límite de seguridad para ejecutar código potencialmente no fiable, pueden surgir problemas de seguridad. Uno de estos problemas afectó al masivamente popular videojuego Dota 2.

Se ha dado a conocer públicamente en los últimos días que Valve dejó sin parchear, durante 15 meses, una vulnerabilidad de JavaScript en Dota 2. Este agujero de seguridad fue utilizado por un atacante o un pirata informático, como todos lo conocemos, pero sin mucha repercusión.

El popular MOBA permite a los jugadores crear sus propios modos de juego, con bastante libertad. Los usuarios con conocimientos básicos de programación pueden enviar propuestas a Valve, que las verifica y las publica, o las rechaza.

Valve no lanzó el parche a pesar de haber sido actualizado por Google

La vulnerabilidad estuvo en el JavaScript Engine V8 y esta fue parcheada completamente por Google en octubre de 2021. Sin embargo, Valve no lanzó una actualización de Dota 2 acerca de esta vulnerabilidad hasta el 12 de enero de 2023, donde la corregían.

Esto lo hizo Valve luego de que Avast notificara la situación a la empresa. Pues según los reportes, este Hacker estuvo activo hasta marzo de 2022.

Según el informe, el Hacker creó cuatro partidas personalizadas llamadas:

• Rest addon pls ignore
• Overdog no annoying héroes
• Custom Hero Brawl
• Overthrow RTZ Edition

Todas estas partidas eran adaptaciones de partidas realmente populares dentro de la escena de Dota 2.

Avast dijo:

«Uno de estos problemas afectó al masivamente popular videojuego Dota 2. Dota utilizaba una compilación obsoleta de v8.dll que se compiló en diciembre de 2018. No es ninguna sorpresa que esta build fuera vulnerable a una serie de CVEs, muchas de ellas incluso siendo vulnerabilidades explotadas conocidas con exploits públicos de prueba de concepto (PoC). Descubrimos que una de estas vulnerabilidades, CVE-2021-38003, fue explotada en la naturaleza en cuatro modos de juego personalizados publicados dentro del juego. Dado que V8 no estaba aislado en Dota, el exploit por sí solo permitía la ejecución remota de código contra otros jugadores de Dota.»

Pero, ¿En qué afectaba esto a los jugadores?

Cuando los jugadores iniciaban el modo de juego fraudulento, el hacker tenía la posibilidad de acceder a sus ordenadores por una entrada trasera casi indetectable. Según Valve, menos de 200 jugadores se vieron afectados por este exploit.

Los investigadores del caso siguen asumiendo que las intenciones de este hacker eran completamente deshonestas. Si bien no hay indicios de cargas útiles maliciosas y se les recomendó a los jugadores no descargar esos modos de juego, los investigadores acusan a esta persona de no haber acudido a Valve para notificar de la vulnerabilidad.

En conclusión, esta vulnerabilidad en V8, el motor de código abierto de Google para JavaScript, permitía al hacker acceder por la puerta trasera a los ordenadores de los jugadores a través de Dota 2.

Para fortuna de todos los jugadores, Valve manejó a la perfección la situación luego de que Avast le informara. No sólo solucionaron el problema inmediatamente, sino que también eliminaron definitivamente estas partidas personalizadas, notificaron a los jugadores afectados y, por su puesto, tomaron diferentes medidas de seguridad informática para evitar que esto volviera a ocurrir en el futuro.

Ahora bien, recordemos que jugar los modos personalizados de Dota 2 es completamente seguir, sin embargo, hay que estar atentos en todo momento con respecto a los que parezcan dudosos. Pues estos podrían ser otros agujeros de seguridad en cualquier instante.

Imagen de cabecera: Valve