Хакерите активно използват уязвимостта „BleedingPipe“ за отдалечено изпълнение на код в модовете на Minecraft, за да изпълняват злонамерени команди на сървъри и клиенти, което им позволява да поемат контрол над устройствата.

BleedingPipe е уязвимост, открита в много модове на Minecraft, причинена от неправилното използване на десериализация в класа ‘ObjectInputStream’ в Java за обмен на мрежови пакети между сървъри и клиенти.

Накратко, нападателите изпращат специално създадени мрежови пакети до уязвимите сървъри на мода Minecraft, за да завладеят сървърите.

След това участниците в заплахата могат да използват тези хакнати сървъри, за да използват недостатъци в същите модове Minecraft, използвани от играчите, които се свързват със сървъра, което им позволява да инсталират зловреден софтуер и на тези устройства.

В нов доклад на общността за сигурност на Minecraft (MMPA) изследователите са установили, че недостатъкът засяга много Minecraft модове, работещи на 1.7.10/1.12.2 Forge, които използват опасен код за десериализация.

Активно експлоатиран през юли

Първите признаци за експлоатация на BleedingPipe се появиха в дивата природа през март 2022 г., но бързо бяха отстранени от разработчиците на модове.

По-рано този месец обаче публикация във форума на Forge предупреждава за мащабна активна експлоатация, при която се използва неизвестен RCE с нулев ден за кражба на бисквитките на сесиите на играчите в Discord и Steam.

„На 9 юли 2023 г. във форума на Forge беше публикуван пост за RCE, който се случва на живо на сървър, като успява да компрометира сървъра и да изпрати идентификационните данни за Discord на клиентите, което показва разпространението на клиентите“, се обяснява в статията на MMPA.

„Проблемът е свързан с 3 мода: EnderCore, BDLib и LogisticsPipes. Тази публикация обаче не беше разпространена и повечето не бяха наясно“.

След допълнителни проучвания MMPA установи, че уязвимостта BleedingPipe присъства и в следните модове на Minecraft:

• EnderCore
• LogisticsPipes по-старите версии от  0.10.0.71
• BDLib 1.7 до 1.12
• Smart Moving 1.12
• Brazier
• DankNull
• Gadomancy
• Advent of Ascension (Nevermine) версия 1.12.2
• Astral Sorcery версии  1.9.1  и  по-стари
• EnderCore версии под  1.12.2-0.5.77
• JourneyMap версии до 1.16.5-5.7.2
• Minecraft Comes Alive (MCA) версии 1.5.2 до  1.6.4
• RebornCore версии до  4.7.3
• Thaumic Tinkerer версии до  2.3-138

Важно е обаче да се отбележи, че горният списък не е пълен и BleedingPipe потенциално може да повлияе на много повече модификации.

MMPA казва, че  заплахата активно сканира за Minecraft сървъри в интернет, които са засегнати от този недостатък, за да извършва атаки, така че поправянето на всички уязвими модове, инсталирани на сървърите, е от съществено значение.

За да защитите услугите и устройствата си от BleedingPipe, изтеглете последната версия на засегнатите модове от официалните канали за издаване.

Ако използваният от вас мод не е отстранил уязвимостта чрез актуализация на сигурността, трябва да преминете към разклонение, което е приело поправките.

Екипът на MMPA също така пусна мод „PipeBlocker“ за защита на сървърите за подправяне и клиентите чрез филтриране на мрежовия трафик „ObjectInputSteam“.

Тъй като полезният товар, пуснат от нападателите в компрометираните системи, все още не е известен, на администраторите на сървъри се препоръчва да проверяват всички модове за подозрителни файлови допълнения с помощта на скенерите ‘jSus’ или ‘jNeedle’.

На играчите, използващи модове, за които е известно, че са уязвими, се препоръчва да извършат подобни сканирания на своята директория .minecraft или на директорията по подразбиране, използвана от техния стартиращ модул, за да проверят за необичайни файлове или зловреден софтуер.

На потребителите на настолни компютри също се препоръчва да извършат антивирусно сканиране, за да проверят дали в системата не са инсталирани злонамерени изпълними файлове.