Lanzado en 2013, Dota 2 sigue siendo una de las experiencias multijugador más populares entre los aficionados a MOBA. Y durante 15 meses, millones de jugadores de Dota 2 han sido potencialmente vulnerables a los ataques de ejecución remota de código debido a la negligencia de Valve.
Valve es conocido por tomarse su tiempo para hacer un nuevo juego de Half-Life (en realidad, cualquier juego nuevo) o contar hasta tres. El gigante de la distribución digital cofundado por Gabe Newell aparentemente es igual de permisivo con las peligrosas infracciones de seguridad, lo que pone en riesgo a los jugadores de uno de sus títulos más populares y permite que los piratas informáticos se vuelvan locos con sus experimentos maliciosos.
El título MOBA gratuito Dota 2 sigue siendo extremadamente popular a pesar de que se lanzó originalmente hace casi 10 años, el 9 de julio de 2013. Como muchos otros juegos, Dota 2 incorpora una versión del motor JavaScript V8 creado por Google para Chrome/Chrome Project. . El problema fundamental aquí es que, hasta hace poco, Valve todavía usaba una versión obsoleta del motor V8 compilado en diciembre de 2018.
La versión de más de cuatro años estaba plagada de errores de seguridad potencialmente peligrosos. La peor parte es que Dota 2 no ejecuta V8 con protección sandbox. Un mal actor podría haber aprovechado el problema para ejecutar código malicioso de forma remota contra los jugadores de Dota. Según Avast, eso es lo que sucedió antes de que Valve finalmente actualizara el motor V8.
Los investigadores de Avast descubrieron que un pirata informático desconocido estaba probando un posible exploit contra CVE-2021-38003, una falla de seguridad extremadamente peligrosa en el motor V8 con una calificación de gravedad de 8.8/10. Al principio, el hacker hizo una prueba aparentemente benigna al lanzar un nuevo modo de juego personalizado, una forma para que los jugadores cambien la experiencia de Dota 2, con código de explotación para CVE-2021-38003 incrustado en su interior.
Después de eso, el hacker lanzó tres modos de juego más, utilizando un enfoque más encubierto al adoptar una puerta trasera simple de solo «unas veinte líneas de código». La puerta trasera podría ejecutar scripts JS arbitrarios descargados de un servidor de comando y control a través de HTTP. El ingenioso truco permitió al atacante mantener oculto el código de explotación y actualizarlo fácilmente sin enviar un nuevo modo de juego personalizado para su revisión y posible descubrimiento. En otras palabras, habría permitido al atacante ejecutar dinámicamente código JavaScript (y probablemente el exploit CVE-2021-38003) en segundo plano.
Google parchó CVE-2021-38003 en octubre de 2021. Mientras tanto, el pirata informático desconocido comenzó a experimentar en marzo de 2022. Los desarrolladores de Dota 2 no se molestaron en solucionar el problema hasta enero de 2023, cuando Avast les informó de sus hallazgos. El análisis adicional para encontrar otras hazañas falló, mientras que los verdaderos motivos del hacker de Dota 2 siguen siendo desconocidos.
