Un ricercatore di sicurezza noto come kinnay ha scoperto una vulnerabilità significativa nei sistemi di matchmaking delle console Nintendo 3DS, Wii U e Nintendo Switch, segnalata nel 2018 attraverso la piattaforma di bug bounty HackerOne (report #469997).
Sebbene il problema sia stato risolto da Nintendo, la divulgazione pubblica del report è avvenuta solo oggi, suscitando un certo interesse nella comunità della sicurezza informatica per la gravità del bug e il lungo periodo trascorso prima della sua pubblicazione.
Una vulnerabilità nel cuore del Matchmaking
La vulnerabilità risiedeva nella funzione UnicodeToUtf8, utilizzata per convertire gli indirizzi IP da un formato specifico della piattaforma a UTF-8 durante il processo di matchmaking.
Questo processo consente alle console di stabilire connessioni dirette tramite NAT traversal, un meccanismo che permette ai dispositivi dietro reti NAT di comunicare attraverso un server centrale.
Tuttavia, un bug nella gestione degli input IP causava uno stack overflow, aprendo la porta a exploit potenzialmente devastanti. Secondo il riassunto fornito da kinnay e Nintendo, un attaccante poteva sfruttare questa vulnerabilità per:
- Su Nintendo 3DS e Switch: Provocare un crash del gioco o, in casi più gravi, ottenere esecuzione di codice remoto (RCE) bypassando le protezioni di Address Space Layout Randomization (ASLR).
- Su Wii U: Sfruttare l’assenza di ASLR per eseguire codice remoto immediatamente tramite tecniche di Return-Oriented Programming (ROP).
- Amplificazione dell’attacco: Grazie al design del sistema di NAT traversal, un attaccante poteva inviare dati malevoli a multiple console contemporaneamente tramite una singola richiesta al server, aumentando l’impatto potenziale.
La vulnerabilità, se sfruttata, avrebbe potuto compromettere l’esperienza di gioco di migliaia di utenti o, nel peggiore dei casi, consentire l’accesso non autorizzato ai dispositivi.
La risposta di Nintendo e la lunga attesa per la divulgazione
Nintendo ha agito per mitigare il problema implementando una validazione degli indirizzi IP sul server prima di inoltrarli alle console, una correzione efficace che ha chiuso la vulnerabilità.
Tuttavia, il report, originariamente segnalato nel 2018, è rimasto confidenziale fino alla sua divulgazione pubblica nel 2025, come confermato da post recenti su X che celebrano il lavoro di kinnay.
Questa lunga attesa potrebbe riflettere il processo di divulgazione responsabile, in cui i dettagli vengono pubblicati solo dopo che la vulnerabilità è stata completamente risolta e non rappresenta più un rischio.
Fonte: x.com
