Хакери атакуват Minecraft потребители и сървъри

Хакерите активно използват уязвимостта „BleedingPipe“ за отдалечено изпълнение на код в модовете на Minecraft, за да изпълняват злонамерени команди на сървъри и клиенти, което им позволява да поемат контрол над устройствата.

BleedingPipe е уязвимост, открита в много модове на Minecraft, причинена от неправилното използване на десериализация в класа ‘ObjectInputStream’ в Java за обмен на мрежови пакети между сървъри и клиенти.

Накратко, нападателите изпращат специално създадени мрежови пакети до уязвимите сървъри на мода Minecraft, за да завладеят сървърите.

След това участниците в заплахата могат да използват тези хакнати сървъри, за да използват недостатъци в същите модове Minecraft, използвани от играчите, които се свързват със сървъра, което им позволява да инсталират зловреден софтуер и на тези устройства.

В нов доклад на общността за сигурност на Minecraft (MMPA) изследователите са установили, че недостатъкът засяга много Minecraft модове, работещи на 1.7.10/1.12.2 Forge, които използват опасен код за десериализация.

Активно експлоатиран през юли

Първите признаци за експлоатация на BleedingPipe се появиха в дивата природа през март 2022 г., но бързо бяха отстранени от разработчиците на модове.

По-рано този месец обаче публикация във форума на Forge предупреждава за мащабна активна експлоатация, при която се използва неизвестен RCE с нулев ден за кражба на бисквитките на сесиите на играчите в Discord и Steam.

„На 9 юли 2023 г. във форума на Forge беше публикуван пост за RCE, който се случва на живо на сървър, като успява да компрометира сървъра и да изпрати идентификационните данни за Discord на клиентите, което показва разпространението на клиентите“, се обяснява в статията на MMPA.

„Проблемът е свързан с 3 мода: EnderCore, BDLib и LogisticsPipes. Тази публикация обаче не беше разпространена и повечето не бяха наясно“.

След допълнителни проучвания MMPA установи, че уязвимостта BleedingPipe присъства и в следните модове на Minecraft:

  • EnderCore
  • LogisticsPipes по-старите версии от  0.10.0.71
  • BDLib 1.7 до 1.12
  • Smart Moving 1.12
  • Brazier
  • DankNull
  • Gadomancy
  • Advent of Ascension (Nevermine) версия 1.12.2
  • Astral Sorcery версии  1.9.1  и  по-стари
  • EnderCore версии под  1.12.2-0.5.77
  • JourneyMap версии до 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) версии 1.5.2 до  1.6.4
  • RebornCore версии до  4.7.3
  • Thaumic Tinkerer версии до  2.3-138

 

Важно е обаче да се отбележи, че горният списък не е пълен и BleedingPipe потенциално може да повлияе на много повече модификации.

MMPA казва, че  заплахата активно сканира за Minecraft сървъри в интернет, които са засегнати от този недостатък, за да извършва атаки, така че поправянето на всички уязвими модове, инсталирани на сървърите, е от съществено значение.

За да защитите услугите и устройствата си от BleedingPipe, изтеглете последната версия на засегнатите модове от официалните канали за издаване.

Ако използваният от вас мод не е отстранил уязвимостта чрез актуализация на сигурността, трябва да преминете към разклонение, което е приело поправките.

Екипът на MMPA също така пусна мод „PipeBlocker“ за защита на сървърите за подправяне и клиентите чрез филтриране на мрежовия трафик „ObjectInputSteam“.

Тъй като полезният товар, пуснат от нападателите в компрометираните системи, все още не е известен, на администраторите на сървъри се препоръчва да проверяват всички модове за подозрителни файлови допълнения с помощта на скенерите ‘jSus’ или ‘jNeedle’.

На играчите, използващи модове, за които е известно, че са уязвими, се препоръчва да извършат подобни сканирания на своята директория .minecraft или на директорията по подразбиране, използвана от техния стартиращ модул, за да проверят за необичайни файлове или зловреден софтуер.

На потребителите на настолни компютри също се препоръчва да извършат антивирусно сканиране, за да проверят дали в системата не са инсталирани злонамерени изпълними файлове.

Източник: По материали от Интернет

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
Бъдете социални
Още по темата
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
01/10/2023

Нова атака на Marvin съживя...

Недостатък, свързан с подложката PKCS #1...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!