Popüler çevrimiçi oyunda kritik bir güvenlik açığı keşfedildi Marvel rakipleribilgisayar korsanlarının şüphesiz oyuncuları kullanma potansiyeli hakkında alarmlar yükseltme.
Uzaktan Kod Yürütme (RCE) güvenlik açığı olarak tanımlanan istismar, aynı ağdaki saldırganların başka bir oyuncunun cihazında keyfi kod çalıştırmasına izin verir. Bu kusur, oyun endüstrisindeki güvenlik uygulamaları hakkında devam eden endişeleri vurgulamaktadır.
Uzak Kod Yürütme Güvenlik Açığı
Sorun, oyunu güncellemek için uzaktan kod yürütmeyi kullanan Marvel Rivals’ın Hotfix yama sisteminden kaynaklanıyor.
Ancak, sistem meşru oyun sunucusuna bağlı olup olmadığını doğrulayamaz. Sorunu bir araya getiren oyun, oyuncuların cihazları üzerinde idari ayrıcalıklarla çalışır, ancak çim önleme amaçları için uygulanan bir önlem, ancak sömürü riskini önemli ölçüde artıran bir önlemdir.
Güvensiz sunucu doğrulaması ve yükseltilmiş ayrıcalıkların bu kombinasyonu, saldırganlar için mükemmel bir fırtına yaratır.
Bir hacker, sadece kurbanla aynı Wi-Fi ağında bulunarak bilgisi olmadan cihazlarında zararlı komutlar yürütebilir.
RCE güvenlik açıkları, saldırganlara bir sistem üzerinde tam kontrol verebilecekleri için yazılımdaki en tehlikeli olanlar arasındadır.
Bu güvenlik açığının sonuçları PC’lerin ötesine uzanır. Araştırmacılar tarafından paylaşılan bir kavram kanıtı videoya göre, bu istismar, PlayStation 5 konsollarına yapılan saldırılar için bir giriş noktası olarak da hizmet edebilir Marvel rakipleri.
Bu, daha geniş platform güvenliği ve diğer oyunlarda veya sistemlerde benzer güvenlik açıkları potansiyeli ile ilgili endişeleri gündeme getirmektedir.
Bu istismarın keşfi, oyun endüstrisinde tekrar eden bir sorunun altını çiziyor: güvenliğe yetersiz dikkat. Bu bulgunun arkasındaki araştırmacı, geliştiricilerin güvenlik açığı raporlarına yanıt verme eksikliği konusundaki hayal kırıklığını dile getirdi.
Geçtiğimiz yıl boyunca büyük oyunlarda en az beş kritik hata tespit ettiklerini ve bunların üçü tepkisiz veya kayıtsız geliştiriciler nedeniyle açılmamış kaldıklarını açıkladılar.
Birçok oyun şirketinde böcek ödül programlarının olmaması bu sorunu daha da kötüleştiriyor. Güvenlik araştırmacıları genellikle teşvikler veya net raporlama kanalları olmadan güvenlik açıklarını sorumlu bir şekilde ifşa etmekten vazgeçiriler. Bunun yerine, bazıları daha kazançlı ancak oyuncu tabanına zararlı olabilen hackler veya botlar oluşturabilir.
“Güvenlik araştırmacılarının çoğu oyun geliştirme şirketine hata bildirmeleri çok zor. Bunun da ötesinde, çoğunun hata ödül programları yok. ” Araştırmacı dedi.
Geliştiriciler, sunucu bağlantılarını doğrulamalı, yönetim ayrıcalıklarını sınırlandırmalı ve güvenlik açıklarını raporlamak için net kanallar oluşturmalıdır. Bazı şirketler tarafından başarılı bir şekilde uygulananlar gibi hata ödül programları, sorumlu açıklamayı teşvik etmek ve genel oyun güvenliğini geliştirmek için uzun bir yol kat edebilir.
Bu istismarın keşfi, ağ şifreleme analizine yardımcı olan Aeonlucid, Lukefz, Nitro ve Sanktanglia dahil olmak üzere çeşitli katkıda bulunanlarla işbirliği yaparak mümkün oldu.
Çevrimiçi oyun popülerlik büyümeye devam ettikçe, siber saldırılar için bir hedef olarak cazibesi de öyle. Geliştiriciler, bunun gibi güvenlik açıkları daha büyük bir ölçekte kullanılmadan önce oyunlarının oyuncular için güvenli olmasını sağlamak için proaktif adımlar atmalıdır.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free