Gruppen/någon har den 10:e april registrerat CVE-2021-30481, vilket är bra. En sårbarhet utan är CVE är svår att ta på allvar men nu kan den välateblerade processen komma igång där sårbarheten analyseras av oberoende part. När det är gjort så har Valve absolut inga möjligheter att sopa detta under mattan.
All information som anses vara trovärdig kommer finnas länkad på MITRE och NVD.
Edit: Att CVE:n registrerade först i lördags får mig att ana att Secret Club/floesen_ hanterat detta aningen -- Jag vet inte vilket ord jag ska använda -- Oerfaret? Att Twittra, skriva foruminlägg (etc) om en sårbarhet och hävda att Valve förhindrar dem att publicera information är INTE rätt metod. Ett stort antal sårbarheter har registreras och rättats i Valves mjukvara genom åren, och de har både en hall of fame för folk som hittat sårbarheter, och ett bug bounty-program på HackerOne med rewards, så jag förstår inte varför de skulle vägra just denna.
Edit 2: Jag läser vidare och hittar antydan om att sårbarheten skulle ha rapporterats till Valve för två år sedan just på deras bug bounty-program (men hittar ingen relevant entry där). Skulle det nu vara så att Valve faktiskt ignorerar en legitim in-scope sårbarhet så kan jag förstå och acceptera twittrandet.
Edit 3: Här är ett screenshot på floesens_ rapport på HackerOne till Valve. Då kan twittrande/forumpostande vara mer motiverat. En tumregel är att ge företag 90 dagar på sig att rätta en sårbarhet efter att man rapporterat den. Om inget händer kan det anses vara nödvändigt att göra en "full disclosure" (det vill säga dela med sig av delar av- eller all information om sårbarheten till allmänheten och på så vis tvinga fram en åtgärd från företaget. Det är inte speciellt ovanligt.
Hur som helst har nu många elaksinnade aktörer sannolikt tillräckligt mycket information (buffer overflow/source engine/invite link) för att kunna "återskapa" sårbarheten. Om allt stämmer lär det inte dröja länge innan vi har en PoC på GitHub, SecLists, och/eller en riktig exploit i privata forum. Så Valve lär agera inom kort.
Edit 4: Det ser ut som att secret club nu går ut i krig mot Valve på Twitter. De länkar/speglar flera (åtminstone ytterligare tre) påstådda sårbarheter från andra säkerhetsforskare som inte skall ha rättats av Valve. 🍿 Hoppas de får CVE:r också, då. Blir så otroligt mycket mer slagkraftigt än mer eller mindre random Twitter-inlägg.
Edit 5: Har reflekterat lite under dagen och kan tänka mig att det ligger till ungefär såhär: Säkerhetsforskare identifierar hål i source engine. Istället för att registrera CVE och göra en responsible disclosure direkt till Valve så rapporterar de sitt fynd via HackerOne (H1). Fyndet är by default belagt med sekretess. I och med detta inskränks det hela av både H1s ToS och Valves NDA. Valve tar - så småningom - emot ärendet (det finns nämligen ett så kallat triage-team tillhörandes HackerOne som validerar/filtrerar inkommande rapporter). Valve, nu skyddade av ToS och NDA kan nu i lugn och ro utvärdera om det är motiverat att prioritera detta ärende. Med jämna mellanrum kan de pinga forskaren med ett halvhjärtat "we're working on it" för att säkerställa att eventuella möjligheter för forskaren att kringå avtalen hålls långt borta. Därmed minkar också chansen för att CVEr registreras, tyvärr.
I det här fallet verkar forskaren försökt pusha på ärendet genom att registrera en CVE (det är dock oklart vem som faktiskt gjort det) och publicera en demo-video med så lite tekniska detaljer som möjligt på Twitter. Är faktiskt osäker på om det var det ultimata, men i alla fall bättre än att sälja sårbarheten på obskyra marknadsplatser.