게임판매 플랫폼 Steam을 운영하는 Valve가 제작 · 판매하는 온라인 대전형 1인칭 슈팅(FPS) Counter-Strike : Global Offensive(CS : GO)에, Steam에서의 온라인게임 초대시스템에 Steam 계정의 비밀번호가 갈취당하는 취약점이 발견되었다고 보도되고 있습니다.
CSGO Exploit Allows Hackers to Steal Passwords | Game Rant
https://gamerant.com/csgo-stolen-password-exploit-hackers/
‘Counter Strike’ Bug Allows Hackers to Take Over a PC With a Steam Invite
https://www.vice.com/en/article/dyvgej/counter-strike-bug-allows-hackers-to-take-over-a-pc-with-a-steam-invite
취약점을 보고한 화이트해커 집단 'The Secret Club'으로, 2019년 The Secret Club의 멤버인 Florian 씨가 Valve가 만든 게임엔진인 Source Engine에 영향을 미치는 원격 코드실행 버그를 발견했습니다. Florian 씨가 발견한 버그를 이용하면 Steam 초대시스템을 경유해 사용자를 공격할 수 있습니다.
문제의 취약점은 '공격자로부터의 초대를 수락하면 사용자의 Steam 계정의 비밀번호가 도난되어 버린다'라고 것으로, 사용자 채팅뿐 아니라 커뮤니티의 초대시스템에서도 실행 가능하며, 공격자가 한 번에 대량의 계정 비밀번호를 도용할 위험도 있다고 합니다.
현시점에서는 CS : GO에서만 이 취약점이 발견되고 있습니다만, Florian 씨는 Source Engine을 사용하는 모든 게임에 취약점이 존재할 가능성이 있다고 주장합니다. Valve의 인기 멀티플레이어 온라인배틀 아레나 게임 'Dota 2'의 게임엔진도 2015년에 Source Engine으로 업그레이드를 했기 때문에 Florian 씨가 발견한 버그의 영향은 매우 크다고 볼 수 있습니다.
The Secret Club의 버그포상금 플랫폼인 HackerOne을 통해 이 문제를 Valve에 보고했는데, Valve의 답변은 없었고 현재까지 수정이 이루어지지 않은 상태라고 합니다.
Florian 씨는 IT계 뉴스사이트 Motherboard와의 인터뷰에서 "Valve는 나의 보고를 거의 무시하고 있어 솔직히 매우 실망하고 있다"고 토로했으며, Motherboard가 Valve의 대변인에게 논평을 요청했지만 응답이 없었다고 합니다.
또한, Valve는 2019년에도 Steam의 Windows 버전에서 관리자 권한을 무단으로 취득할 수 있는 제로데이 취약점이 9600만 명 이상에게 영향을 미칠 가능성을 지적받았으면서도 보고를 무시하는 것을 넘어 발견자를 버그포상금 프로그램에서 추방하였고 나중에 사과한 것으로 보도된 전례가 있습니다.
Valve says turning away researcher reporting Steam vulnerability was a mistake | Ars Technica
https://arstechnica.com/information-technology/2019/08/valve-says-turning-away-researcher-reporting-steam-vulnerability-was-a-mistake/
Steam Patches LPE Vulnerabilities in Beta Version Update
https://www.bleepingcomputer.com/news/security/steam-patches-lpe-vulnerabilities-in-beta-version-update/
'IT' 카테고리의 다른 글
부정하게 조회수를 늘리는 봇을 단속하자 인기 스트리머의 팔로워 수가 수백만 단위로 감소 (0) | 2021.04.16 |
---|---|
러시아의 해외정보국이 미국과 동맹국에 대한 공격에 5가지의 취약점을 악용 (0) | 2021.04.16 |
FBI가 총기난사 범인의 iPhone의 잠금을 해제한 방법이 판명...Apple이 거절한 보안 돌파는 어떻게 이루어졌나 (0) | 2021.04.15 |
Windows 10의 '타임라인' 기능이 폐지될 예정 (0) | 2021.04.15 |
Facebook, 1년간 250억 원을 마크 저커버그의 보안에 지출 (0) | 2021.04.11 |
5억 원 이상을 크리에이터에게 지불하는 '크리에이터 펀드'를 Pinterest가 설립...가이드러인 '크리에이터 코드'도 도입 (0) | 2021.04.08 |
소비전력이 거의 제로! Windows10의 절전모드 (0) | 2021.04.08 |
Facebook이 5억 3000만 명의 사용자데이터 유출사건에 대한 공식 입장을 발표, "시스템이 해킹된 것은 아니다" (0) | 2021.04.07 |