Nintendo ha estado parcheando un "Severo" Vulnerabilidad encontrada en algunos juegos en línea de Switch, 3DS y Wii U

Imagen: Damien McFerran / Nintendo Life

Actualizar [Fri 3rd Mar, 2023 15:30 GMT]: Nintendo ha anunciado que ha comenzado un mantenimiento de emergencia temporal en Splatoon y Mario Kart 8 para Wii U.

Si bien no está confirmado, se especula mucho que el mantenimiento, que en el momento de escribir este artículo no tiene un marco de tiempo adjunto, está relacionado con el exploit ‘ENLBufferPwn’ que se detalla en el artículo a continuación.

Como recordatorio rápido, el exploit permite efectivamente a los atacantes obtener el control de las consolas Wii U y 3DS de destino simplemente conectándose a los jugadores en línea.

Con suerte, el mantenimiento evitará que el exploit se use en el futuro, sin embargo, actualmente se desconoce cuándo volverán a funcionar exactamente los servicios en línea para Splatoon y Mario Kart 8.

Imagen: Nintendo

Artículo original [Wed 28th Dec, 2022 11:15 GMT]:

Recientemente se encontró una vulnerabilidad grave que afecta a varias consolas de Nintendo, con el potencial de permitir el acceso no autorizado a Switch, 3DS y Wii U a través de una gran cantidad de juegos en línea. Se informa que durante algún tiempo Nintendo ha estado trabajando para parchear juegos para eliminar el exploit conocido como ‘ENLBufferPwn’, con varias actualizaciones ya disponibles para abordar la situación (gracias, Nintendo Everything).

La vulnerabilidad, que ha sido categorizada como ‘crítica’ en el Common Vulnerability Scoring System (CVSS) y detallada en su totalidad en GitHub por PabloMK7Rambo6Glaz y pezpez6564, según se informa, expone el dispositivo de una víctima para completar el control remoto simplemente jugando un juego en línea con un atacante potencial. Esto significa que los atacantes pueden obtener acceso a información confidencial o tomar grabaciones de audio y video mediante la ejecución remota de código.

La vulnerabilidad fue reportada a Nintendo en “2021/2022” por @Pablomf6 – que dice que recibió una “recompensa” de $ 1000 a través del programa HackerOne de Nintendo – y ahora se entiende que la compañía ha tomado medidas para solucionar el problema en algunos de los juegos afectados, incluido Mario Kart 7, que se actualizó recientemente después de más de un década.

Parece que la mayoría de los títulos de Switch de alto perfil ya se han solucionado, pero parece que Mario Kart 8 y Splatoon en Wii U aún no se han abordado y aún pueden verse afectados por la vulnerabilidad.

Aquí hay una lista de títulos afectados, según la página de GitHub:

Se especula que otros juegos también pueden verse afectados por la vulnerabilidad, aunque eso no está confirmado en este momento.

Para ver el exploit en acción, eche un vistazo al siguiente video de PabloMK7 que muestra a un atacante (consola izquierda) que se hace cargo de forma remota de un 3DS no modificado (lado derecho) copiando una carga útil de programación orientada al retorno (ROP) y ejecutándola remotamente Luego, la consola de la víctima se ve obligada a ejecutar un instalador de firmware personalizado y se cree que la misma técnica permitiría a un atacante robar información confidencial de una consola remota. Afortunadamente, esto ya se solucionó y ya no se puede llevar a cabo si está ejecutando la última versión del software, ¡así que asegúrese de actualizar si no lo ha hecho!

Suscríbete a Nintendo Life en YouTube

El enfoque relativamente limitado de Nintendo para el juego en línea parece tener sus ventajas cuando se trata de problemas de seguridad como este, como lo señaló @LuigiBlood discutiendo el exploit:

A menos que Nintendo diera su biblioteca de red (¡no NEX!) a algunos desarrolladores externos como Camelot, Arika y Bandai Namco, lo cual dudo mucho, creo que Wii U y 3DS en línea seguirán existiendo por un tiempo.
En el peor de los casos, solo podrían cortar en línea solo para estos juegos.— Yakumono (@LuigiBlood) 24 de diciembre de 2022

Esos dos juegos mencionados son Mario Kart 8 y Splatoon, por lo que si todavía juegas a cualquiera de esos títulos en línea en tu Wii U, te recomendamos extremar las precauciones o evitarlos por completo hasta que haya más información disponible. Actualizaremos este artículo si salen a la luz más detalles.

¿Qué piensa usted de esto? Comparta sus pensamientos en los comentarios a continuación.

Autor