El error de PlayStation Now provocó ataques de RCE, lanzado y solucionado

Un cazador de insectos fue recompensado con $ 15,000 por informar un error crítico de RCE en PS Now de Sony. Describió que este error, cuando se explota, puede permitir que los atacantes inyecten código malicioso y se ejecuten en los sistemas de los usuarios objetivo. Aunque informó este error a principios de este año, PlayStation un mes después lo marcó como resuelto para el parche.

Error de PlayStation Now que conduce a ataques RCE

PlayStation Now Bug llevó a RCE Attack

Compitiendo con Xbox Game Pass de Microsoft, Sony lanzó un servicio de suscripción de juegos en la nube similar llamado PlayStation Now en 2014, que ha más de 2.2 millones de suscriptores ahora. Debido a que es popular, puede convertirse en un objetivo favorito de los piratas informáticos.

Además, Read- Sony anuncia el programa Bug Bounty de 50.000 dólares para PlayStation 4

Por lo tanto, PlayStation creó un programa de recompensas por errores en HackerOne a principios de este año con la esperanza de recompensar a los cazadores de errores que, en particular, revelan errores críticos en sus redes y dispositivos. Esto llevó a un cazador de insectos llamado Parsia Hakimian a enviar un error de RCE en PlayStation Now (PS Now) el 13 de mayo, que fue resuelto por PlayStation un mes después.

Describió que el error afecta a las versiones 11.0.2 y anteriores de PS Now en computadoras con Windows 7 SP1 o posterior. Señaló que el error es una aplicación electrónica insegura que, si se explota, expone a los usuarios a ataques RCE.

Describió que «Cualquier sitio web cargado en cualquier navegador en la misma máquina puede ejecutar código arbitrario en la máquina a través de una conexión WebSocket vulnerable.«

Por lo tanto, un atacante puede enviar un script malicioso a los usuarios a través de cualquier canal y engañarlos para que hagan clic en él. Después de abrirlo, se conecta a los WebSockets de los dispositivos de los usuarios. Explicó que el JavaScript cargado por AGL podrá generar procesos en la máquina.

Así que puedes «conducir a la ejecución de código arbitrario» desde el «La aplicación AGL no comprueba qué URL carga.El problema es que AGL WebSocket no verifique el encabezado de la fuente o solicite las fuentes de un archivo. PlayStation te otorgó una recompensa de $ 15,000 por informar esto.

Además, Read- El vehículo eléctrico Vision S de Sony sorprendió a todos más que la PS5