Эксперт PT SWARM Олег Сурнин обнаружил две уязвимости в платформе для онлайн-игр Foundry Virtual Tabletop (Foundry VTT), разработанной компанией Foundry Gaming. При успешной эксплуатации уязвимости нарушитель смог бы выполнить произвольный код на сервере, на котором установлен Foundry VTT. Это нелегитимное действие позволило бы ему, например, заблокировать игровой сервер, чтобы потребовать выкуп, а еще использовать его для майнинга или дальнейших хакерских атак. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Уязвимостям PT-2025-138 и PT-2025-1391, по экспертной оценке Positive Technologies, было присвоено 7,1 и 8,4 балла из 10 по шкале CVSS 4.0 соответственно. В случае успешной атаки злоумышленник мог бы выполнить на сервере с установленным Foundry VTT вредоносный код или повысить привилегии до уровня администратора. В результате он получил бы возможность добавить устройство в ботнет2, предназначенный для реализации DDoS-атак3. Дефекты безопасности также могли бы позволить нарушителю запустить на уязвимом сервере майнер, который потреблял бы существенные объемы памяти и электроэнергии, или заблокировать доступ к серверу и потребовать выкуп у игроков. Чтобы исправить ошибки, пользователям следует в кратчайшие сроки обновить платформу до версии 13.351 или выше.
Foundry VTT пользуется популярностью среди онлайн-игроков. На официальном сервере платформы в Discord 104 тыс. участников и более 90 тематических игровых каналов. Ежемесячно к нему присоединяются около 1,5 тыс. пользователей. Сообщество платформы в Reddit посещают 50 тыс. игроков в неделю. В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально по всему миру уязвимы около 120 тыс. серверов. Наибольшее их число находится в США (25%), Бразилии (12%), Германии (9%), Мексике (8%), Испании (5%), а также в России (2%).
1 Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
2 Ботнет — это сеть устройств, зараженных вредоносным ПО, которое позволяет злоумышленникам удаленно подключаться к устройствам и управлять ими.
3 DDoS-атака — распределенная атака, целью которой является создание чрезмерной нагрузки на сервер, приводящей к его отказу. При таких атаках пользователи не могут получить доступ к системе (или он существенно затруднен).
Доли уязвимых серверов с установленным приложением Foundry VTT по странам
«Роль администратора в Foundry VTT заключается в том, чтобы развернуть подходящий по техническим характеристикам сервер и организовать игру. Эксплуатация найденных уязвимостей в первую очередь затронула бы именно этих пользователей. Другая уязвимая категория — специальные сервисы, которые за дополнительную плату берут на себя установку и поддержку игрового софта. Как правило, такие организации своевременно обновляют ПО, однако пользователям стоит дополнительно проверить установленную версию и при необходимости попросить сервис загрузить актуальную».
Олег СурнинРуководитель отдела исследований безопасности мобильных приложений, Positive Technologies
В 2025 году Олег Сурнин, Алексей Писаренко и Алексей Соловьев из PT SWARM помогли устранить уязвимости PT-2024-29 — PT-2024-34 в парольном менеджере Passwork, среди которых также были дефекты безопасности, связанные с выполнением кода и повышением привилегий.
Находить подобные уязвимости еще на стадии разработки поможет статистический анализатор кода, например PT Application Inspector. Продвинутые продукты классов NTA и NDR, например PT Network Attack Discovery (PT NAD), детектируют попытки эксплуатации ошибок, а решения класса NGFW, такие как PT NGFW, блокируют их. Снизить риск использования дефектов безопасности поможет межсетевой экран уровня веб-приложений, например PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
