Хакерите активно използват уязвимостта „BleedingPipe“ за отдалечено изпълнение на код в модовете на Minecraft, за да изпълняват злонамерени команди на сървъри и клиенти, което им позволява да поемат контрол над устройствата.

BleedingPipe е уязвимост, открита в много модове на Minecraft, причинена от неправилното използване на десериализация в класа ‘ObjectInputStream’ в Java за обмен на мрежови пакети между сървъри и клиенти.

Накратко, нападателите изпращат специално създадени мрежови пакети до уязвимите сървъри на мода Minecraft, за да завладеят сървърите.

След това участниците в заплахата могат да използват тези хакнати сървъри, за да използват недостатъци в същите модове Minecraft, използвани от играчите, които се свързват със сървъра, което им позволява да инсталират зловреден софтуер и на тези устройства.

В нов доклад на общността за сигурност на Minecraft (MMPA) изследователите са установили, че недостатъкът засяга много Minecraft модове, работещи на 1.7.10/1.12.2 Forge, които използват опасен код за десериализация.

Активно експлоатиран през юли

Първите признаци за експлоатация на BleedingPipe се появиха в дивата природа през март 2022 г., но бързо бяха отстранени от разработчиците на модове.

По-рано този месец обаче публикация във форума на Forge предупреждава за мащабна активна експлоатация, при която се използва неизвестен RCE с нулев ден за кражба на бисквитките на сесиите на играчите в Discord и Steam.

„На 9 юли 2023 г. във форума на Forge беше публикуван пост за RCE, който се случва на живо на сървър, като успява да компрометира сървъра и да изпрати идентификационните данни за Discord на клиентите, което показва разпространението на клиентите“, се обяснява в статията на MMPA.

„Проблемът е свързан с 3 мода: EnderCore, BDLib и LogisticsPipes. Тази публикация обаче не беше разпространена и повечето не бяха наясно“.

След допълнителни проучвания MMPA установи, че уязвимостта BleedingPipe присъства и в следните модове на Minecraft:

  • EnderCore
  • LogisticsPipes по-старите версии от  0.10.0.71
  • BDLib 1.7 до 1.12
  • Smart Moving 1.12
  • Brazier
  • DankNull
  • Gadomancy
  • Advent of Ascension (Nevermine) версия 1.12.2
  • Astral Sorcery версии  1.9.1  и  по-стари
  • EnderCore версии под  1.12.2-0.5.77
  • JourneyMap версии до 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) версии 1.5.2 до  1.6.4
  • RebornCore версии до  4.7.3
  • Thaumic Tinkerer версии до  2.3-138

 

Важно е обаче да се отбележи, че горният списък не е пълен и BleedingPipe потенциално може да повлияе на много повече модификации.

MMPA казва, че  заплахата активно сканира за Minecraft сървъри в интернет, които са засегнати от този недостатък, за да извършва атаки, така че поправянето на всички уязвими модове, инсталирани на сървърите, е от съществено значение.

За да защитите услугите и устройствата си от BleedingPipe, изтеглете последната версия на засегнатите модове от официалните канали за издаване.

Ако използваният от вас мод не е отстранил уязвимостта чрез актуализация на сигурността, трябва да преминете към разклонение, което е приело поправките.

Екипът на MMPA също така пусна мод „PipeBlocker“ за защита на сървърите за подправяне и клиентите чрез филтриране на мрежовия трафик „ObjectInputSteam“.

Тъй като полезният товар, пуснат от нападателите в компрометираните системи, все още не е известен, на администраторите на сървъри се препоръчва да проверяват всички модове за подозрителни файлови допълнения с помощта на скенерите ‘jSus’ или ‘jNeedle’.

На играчите, използващи модове, за които е известно, че са уязвими, се препоръчва да извършат подобни сканирания на своята директория .minecraft или на директорията по подразбиране, използвана от техния стартиращ модул, за да проверят за необичайни файлове или зловреден софтуер.

На потребителите на настолни компютри също се препоръчва да извършат антивирусно сканиране, за да проверят дали в системата не са инсталирани злонамерени изпълними файлове.

Източник: По материали от Интернет

Подобни публикации

21 юни 2025

BitoPro обвини севернокорейската група Lazarus ...

Тайванската криптоборса BitoPro обвинява групата Lazarus за кражбат...
21 юни 2025

Microsoft разследва проблем с търсенето в OneDrive

Microsoft съобщи, че разследва продължаващ проблем, който засяга фу...
21 юни 2025

Cloudflare неутрализира най-голямата DDoS атака...

През май 2025 г. Cloudflare – един от водещите световни доставчици ...
21 юни 2025

Атака срещу Aflac разкрива мащабна киберкримина...

Американската застрахователна компания Aflac потвърди, че е станала...
21 юни 2025

Зловредният софтуер Godfather се завръща с нова...

Godfather, нова версия на Android зловреден софтуер, използва вирту...
21 юни 2025

Министерството на правосъдието на САЩ конфискув...

Министерството на правосъдието на САЩ конфискува криптовалута на ст...

Microsoft затяга сигурността

Microsoft предприема цялостна стратегия за засилване на сигурността...
21 юни 2025

OpenAI подготвя интеграция с Google услуги и пр...

OpenAI се готви за следващата голяма крачка в развитието на ChatGPT...

Поглед към Green Transition Forum 5.0

Киберсигурността не е просто техническа дисциплина или изпълнение н...
Бъдете социални
Още по темата
21/06/2025

BitoPro обвини севернокорей...

Тайванската криптоборса BitoPro обвинява групата Lazarus...
21/06/2025

Атака срещу Aflac разкрива ...

Американската застрахователна компания Aflac потвърди, че...
20/06/2025

Viasat е поредната жертва н...

Американската компания за сателитни комуникации Viasat...
Последно добавени
21/06/2025

BitoPro обвини севернокорей...

Тайванската криптоборса BitoPro обвинява групата Lazarus...
21/06/2025

Microsoft разследва проблем...

Microsoft съобщи, че разследва продължаващ проблем,...
21/06/2025

Cloudflare неутрализира най...

През май 2025 г. Cloudflare –...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!