《絕對武力:全球攻勢》邀請連結有漏洞,遊戲引擎公司仍未修好

駭客可以利用《絕對武力:全球攻勢》(CS:GO)遊戲伺服器中的 bug,誘騙使用者點擊其 Steam 邀請連結,達到入侵並控制使用者電腦的目的。
評論
評論

打電動也要注意資安!根據外媒報導,駭客可以利用《絕對武力:全球攻勢》(Counter Strike: Global Offensive, CS:GO)遊戲伺服器中的 bug,誘騙使用者點擊其 Steam 邀請連結,達到入侵並控制使用者電腦的目的。

這個 bug 從何而來?其實最早在 2019 年,就有資安研究機構提醒軟體公司 Valve 這個漏洞。Valve 就是開發真 3D 遊戲引擎 Source 的製作公司,不只用於《絕對武力:全球攻勢》,也用於《絕地要塞 2》(Team Fortress 2)等知名第一人稱 3D 射擊遊戲。

雖然這項錯誤已經在某些使用 Source 引擎的遊戲中被修復,但仍舊存在在《絕對武力:全球攻勢》中。研究人員弗洛里安(Florian)更用影片示範:

弗洛里安嘗試透過抓漏專案(bug bounty)服務 HackerOne 和 Valve 聯繫,但弗洛里安認為 Valve 的回應速度實在太慢,「老實說我很失望,因為他們大部分的時間都不理我」。目前 Valve 公關部門尚未對此置評。

弗洛里安進一步解釋該漏洞,駭客能利用此漏洞自動傳播,就像寄生蟲一樣一傳十、十傳百。而不幸中的大幸是,根據弗洛里安研究顯示,目前只剩下《絕對武力:全球攻勢》還存在這項 bug,其他遊戲已經解決這項漏洞。

「一旦你將這個病毒感染給別人的電腦,它就能被武器化,傳染給用戶所有的朋友,以及更多的人。」

這並不是 Valve 第一次對漏洞回報反應緩慢。在 2018 年,一名資安研究人員在 Steam 上發現一個漏洞,該漏洞可讓駭客接管受害者的電腦,而這個漏洞居然已經存在十年之久!這也讓使用者在遊玩射擊遊戲時,又多了一層疑慮。

核稿編輯:Anny

延伸閱讀:



從這 3 個解決方案,突破傳統 VPN 功能上的局限性

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。
評論
評論

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。雲端運算的廣泛使用,給傳統 VPN 技術實現遠程安全接入的方案,帶來了很大的挑戰。

挑戰來源於這裡

首先終端安全風險缺乏有效地管控,傳統的 VPN 只針對用戶做認證,缺乏對終端裝置認證及安全性評估。終端種類和來源的多樣性帶來的安全風險大大增加,存在終端被入侵並作為攻擊跳板的可能性。

傳統 VPN 難以適應雲環境和多雲數據中心應用場景出現,且通常採用加密隧道劃分安全可信區域,在雲環境下,尤其是存在多雲數據中心的情況,難以適應同意安全接入、統一建立安全邊界的需求。最後 VPN 介入後的橫向攻擊難以控制,用戶通過傳統 VPN 接入內網後,缺少更細粒度、動態的訪問和權限控制,導致關鍵應用可能存在被攻擊滲透的風險。

新的方案需要在這 3 個方面提升

除了對用戶身份認證以外,對用戶終端的安全性也需要進行持續地評估,以提升系統安全水平。適應雲端運算環節下統一接入、統一管理的要求,其中包括私有雲、公有雲和混和雲環境。對內部網路中的橫向攻擊進行有效地管理控制,對用戶可信度的訪問權限進行評估,不能只是透過物理位置和靜態狀態來做出判斷,需要基於用戶自身的角色和身份以及當前的安全狀態,來進行更細顆粒度的動態授權,進一步去提升系統安全訪問的標準。

VPN 會在用戶進行登錄訪問的期間實施檢測功能,當發現終端安全狀態不能滿足安全需求時,會限制終端對系統的訪問。VPN 可以通過 API 接口與態勢感知、下一代防火牆、終端檢測和響應等多種裝置進行安全連動,並保持安全效能持續地成長,更加準確識別出異常行為和未知的威脅。同時,透過與其他能力相互協作,滿足遠距辦公場景下的數據防泄密需求。

Surfshark VPN 免費加贈 3 個月

本文章內容由「Surfshark」提供,經關鍵評論網媒體集團廣編企劃編審。