Luki RCE w Steam i silniku Source – analiza Valve bug bounty
Wyobraź sobie, że klikasz zwykłe zaproszenie do gry na Steamie, a w tle atakujący przejmuje kontrolę nad twoim komputerem. To nie scenariusz z filmu, lecz realna luka RCE (Remote Code Execution) w silniku Source Valve, ujawniona przez badaczy bezpieczeństwa. Tysiące graczy CS:GO i innych tytułów wciąż są narażeni, mimo zgłoszeń do programu Valve bug bounty na HackerOne. W tym artykule analizujemy zagrożenie, mechanizmy ataku i kroki ochronne – bo Valve security to nie tylko słowa, ale pilna potrzeba działania.
W erze gaming cybersecurity news, gdzie Steam obsługuje miliony unikalnych graczy miesięcznie, takie luki to bomba zegarowa. Badacz Florian zgłosił błąd dwa lata temu, otrzymał nagrodę, ale CS:GO pozostało podatne nawet w kwietniu. Secret Club i inni researcherzy pokazują exploity wideo – od zaproszeń Steam po złośliwe serwery. Dlaczego Valve zwleka? Odpowiadamy poniżej, z faktami i wskazówkami dla polskich graczy i deweloperów.
Przegląd zagrożenia i dotknięte systemy
KRYTYCZNE: Luka RCE w silniku Source pozwala na zdalne wykonanie kodu poprzez proste zaproszenie Steam lub połączenie z serwerem. Dotyczy gier jak CS:GO (27 mln graczy miesięcznie), z wyjątkiem tych na Source 2 czy zmodyfikowanych wersji (np. Titanfall).
Badacz Florian odkrył memory corruption w kodzie Source w czerwcu 2019 r., zgłosił via HackerOne Valve. Valve zapłaciło bounty, naprawiło w niektórych tytułach (np. Team Fortress), ale CS:GO pozostało podatne po aktualizacji z 31 marca.
Affected: Wszyscy użytkownicy Steam z grami Source 1. Atak vector: kliknięcie zaproszenia do gry lub join malicious community server. Potencjalne skutki: kradzież danych (credentials, banking info), worm-like rozprzestrzenianie się.
Seriousness: Wysoka – brak CVE numeru w źródłach, ale exploity 100% reliable z edycją base address (ASLR challenge). Secret Club opublikował wideo demo: RCE via Steam invite.
Historia zgłoszeń i odpowiedzi Valve
- Florian (2019): Bounty zapłacone, fix w jednym tytule, ale nie w CS:GO (ostatni kontakt 6 mies. temu).
- Brymko, Carl Smith, Simon Scannell: RCE via malicious server, ignorowane 5-12 mies.
- Bien Pham: Zgłoszenie 2 kwietnia poprzedniego roku – brak reakcji.
- Inny researcher: Ban z bug bounty po RCE w Steam client, potem public disclosure.
Valve ma program bug bounty od lat, z payoutami do 25k USD za critical flaws, ale reakcje bywają powolne.
Oryginalny materiał od @The Cyber Security Hub™ możesz zobaczyć poniżej:
Jak widać w powyższym materiale, społeczność bezpieczeństwa aktywnie monitoruje i nagłaśnia takie zagrożenia, co zwiększa presję na producentów.
Szczegółowa analiza Source engine vulnerability
Mechanizm ataku – jak działa luka RCE?
Luka to buffer overflow / heap corruption w Source engine, wyzwalana przez malformed Steam invite lub server info packet (UDP-based).
Wskazówka: Atakujący wysyła zaproszenie – ofiara klika, kod wykonuje się z prawami użytkownika. Możliwe combo z info-leak dla pełnego RCE mimo ASLR.
„Once you infected somebody this person can be weaponised in order to infect their friends and so on.” – Florian.
Brak nowoczesnych protekcji ułatwia exploit. Demo: RCE w CS:GO via invite, pełna kontrola PC.
Dotknięte wersje i patch status
Uwaga: CS:GO – podatne po update 31 marca (stan na kwiecień). Inne Source 1 gry: tak, chyba że patched indywidualnie. Steam client: starsze RCE (decade-old) patched w lutym (beta branch, 8h reakcja).
Brak oficjalnego CVE w źródłach, ale HackerOne report #470520 potwierdza RCE via server info buffer overflow. Sprawdź wersję gry w Steam: Properties > Updates.
IOCs i jak sprawdzić, czy jesteś zagrożony
Sprawdź natychmiast, czy jesteś zagrożony – Uruchom CS:GO/Source gry, szukaj podejrzanych invite od nieznajomych. Monitoruj procesy (Task Manager) na nietypowe steam.exe child processes.
- IOCs: Nieoczekiwane crash’e Steam przy invite, nieznane serwery w historii joinów.
- Użyj Wireshark na UDP Steam traffic (porty ~27000-27200) – szukaj malformed packets.
Strategie obrony i kluczowe kroki zabezpieczenia
Kroki mitigacji od Valve i researcherów
Valve: Patch w niektórych grach, ale nie universally. Dla CS:GO – brak fixu wg Floriana. Ogólne: Włącz Steam beta dla szybkich patche.
Ważne:
- Wyłącz auto-accept invites: Steam Settings > Friends > Uncheck „Automatically open Invite URLs”.
- Grać tylko trusted servers: CS:GO console:
mm_dedicated_search_maxping 50. - Firewall: Blokuj outbound UDP do nieznanych IP na Steam ports.
- Update Steam client i gry natychmiast.
Dla deweloperów i graczy pro
Użyj sandbox (np. Windows Sandbox) do testów. Monitoruj via Sysmon IOCs: process creation z steam.exe parent. Raportuj do Valve HackerOne.
Ciekawostka: Valve płaciło 20k USD za inne Steam flaws, jak unlimited keys generator.
Podsumowanie i kluczowe wnioski
Luka bezpieczeństwa Steam pokazuje słabości nawet gigantów. Valve bug bounty działa, ale fixes bywają fragmentaryczne – gracze CS:GO, działajcie natychmiast: wyłączcie invites, update’ujcie, skanujcie PC (np. Malwarebytes).
Przyszłość? Więcej Source engine vulnerability w spotlight, presja na full patch. Śledź HackerOne Valve dla update’ów. Bezpieczeństwo to gra zespołowa – raportujcie bugs, chrońcie się. Twoi znajomi na Steamie dziękują!
Jak się chronić?
- 1. Update Steam. 2. Privacy settings: No friend requests from strangers. 3. VPN dla public servers. 4. Backup danych przed grą.
Zabezpiecz swoje systemy już dziś. Każda minuta opóźnienia zwiększa ryzyko.
