2023年9月13日
Windows用『Source Dedicated Server (SRCDS)』と『ESP(ES2.0)』の組み合わせで発生するセキュリティホールを利用したアカウントハックに注意
Windows用『Source Dedicated Server (SRCDS)』と『ESP(ES2.0)』の組み合わせで発生するセキュリティホールを利用したアカウントハックの被害が報告されているとの情報をいただきました。
サーバーがこちらのセキュリティホールをついた攻撃をうけると、不正な Python スクリプトがサーバーにアップロードされ、Windows アカウントの乗っ取りが行われるとのこと。
現状、Linux サーバーには影響がないとのことです。
上記組み合わせでゲームサーバーを運営している管理者の方はご注意ください。
下記のページにて詳細がまとめられています。
yokuba さん情報提供ありがとうございました。
Negitaku.org 運営者(2002年より)。Counter-Strikeシリーズ、Dota 2が大好きです。
じゃがいも、誤字脱字を見つけるのが苦手です。
https://twitter.com/YossyFPS/
https://twitter.com/YossyFPS/
SNSでフォローする
人気記事
こわいこわい
なんかよくわからないですけど気をつけます。
怖いです。
具体的に何が危ないか解らない人が多そうなので補足。
#アカウントハック、って単語だと一般ユーザ影響受けそうに読めるし。
・影響を受ける人
Windowsでサーバを建てていて、EventScript 2.0 (*1) を導入してる人。
#制限ユーザとかで立ててる人は皆無でしょう。
該当しない場合は本件は心配しなくてよいです。
該当する人は即座にES止めた方が良いです。
もしくは制限ユーザで実行するか(*2)
#現時点で修正はリリースされてない模様。
・現時点で乗っ取られてるかどうかの調査
ES入れた直下を確認
addons/eventscripts/corelib/
ここに corelib.pycがあるのに、corelib.py が無かったらヤバい(*3)
*1
http://mattie.net/cs/
*2
ただし、該当のユーザ権限は乗っ取られるし、権限向上のexploitとか突っ込まれたらアウト。
#上記の意味が分からない場合は素直に止めた方が良い。
*3
一応esのzipを展開だけして、corelib.pyというファイルは無い事を確認。
まぁpycだけになる、ってのは普通だとありえないのでアウトでしょう。
おお怖い怖い
なんか情報が錯綜してるようなので簡潔に。
・影響を受けるのはサーバだけで、繋いでる人には関係ありません。
・Linuxでも大して安全じゃないです。
・ESを切るだけだと根本的な解決にはなりません。
・Rconのパスワードを知らなくても攻撃を成功させることができます。
・根本的に対策するにはsv_allowuploadとsv_allowdownloadの「両方」を0に設定しましょう。
・または「D-FENS」というプラグインを入れても防げます
http://forums.alliedmods.net/showthread.php?t=109453
流石B2k!
僕たちに出来ない事を平然とやってのける!
そこにシビれる憧れるぅ!
ハッカーさんかっけー