Търсене
Close this search box.

Хакери атакуват Minecraft потребители и сървъри

Хакерите активно използват уязвимостта „BleedingPipe“ за отдалечено изпълнение на код в модовете на Minecraft, за да изпълняват злонамерени команди на сървъри и клиенти, което им позволява да поемат контрол над устройствата.

BleedingPipe е уязвимост, открита в много модове на Minecraft, причинена от неправилното използване на десериализация в класа ‘ObjectInputStream’ в Java за обмен на мрежови пакети между сървъри и клиенти.

Накратко, нападателите изпращат специално създадени мрежови пакети до уязвимите сървъри на мода Minecraft, за да завладеят сървърите.

След това участниците в заплахата могат да използват тези хакнати сървъри, за да използват недостатъци в същите модове Minecraft, използвани от играчите, които се свързват със сървъра, което им позволява да инсталират зловреден софтуер и на тези устройства.

В нов доклад на общността за сигурност на Minecraft (MMPA) изследователите са установили, че недостатъкът засяга много Minecraft модове, работещи на 1.7.10/1.12.2 Forge, които използват опасен код за десериализация.

Активно експлоатиран през юли

Първите признаци за експлоатация на BleedingPipe се появиха в дивата природа през март 2022 г., но бързо бяха отстранени от разработчиците на модове.

По-рано този месец обаче публикация във форума на Forge предупреждава за мащабна активна експлоатация, при която се използва неизвестен RCE с нулев ден за кражба на бисквитките на сесиите на играчите в Discord и Steam.

„На 9 юли 2023 г. във форума на Forge беше публикуван пост за RCE, който се случва на живо на сървър, като успява да компрометира сървъра и да изпрати идентификационните данни за Discord на клиентите, което показва разпространението на клиентите“, се обяснява в статията на MMPA.

„Проблемът е свързан с 3 мода: EnderCore, BDLib и LogisticsPipes. Тази публикация обаче не беше разпространена и повечето не бяха наясно“.

След допълнителни проучвания MMPA установи, че уязвимостта BleedingPipe присъства и в следните модове на Minecraft:

  • EnderCore
  • LogisticsPipes по-старите версии от  0.10.0.71
  • BDLib 1.7 до 1.12
  • Smart Moving 1.12
  • Brazier
  • DankNull
  • Gadomancy
  • Advent of Ascension (Nevermine) версия 1.12.2
  • Astral Sorcery версии  1.9.1  и  по-стари
  • EnderCore версии под  1.12.2-0.5.77
  • JourneyMap версии до 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) версии 1.5.2 до  1.6.4
  • RebornCore версии до  4.7.3
  • Thaumic Tinkerer версии до  2.3-138

 

Важно е обаче да се отбележи, че горният списък не е пълен и BleedingPipe потенциално може да повлияе на много повече модификации.

MMPA казва, че  заплахата активно сканира за Minecraft сървъри в интернет, които са засегнати от този недостатък, за да извършва атаки, така че поправянето на всички уязвими модове, инсталирани на сървърите, е от съществено значение.

За да защитите услугите и устройствата си от BleedingPipe, изтеглете последната версия на засегнатите модове от официалните канали за издаване.

Ако използваният от вас мод не е отстранил уязвимостта чрез актуализация на сигурността, трябва да преминете към разклонение, което е приело поправките.

Екипът на MMPA също така пусна мод „PipeBlocker“ за защита на сървърите за подправяне и клиентите чрез филтриране на мрежовия трафик „ObjectInputSteam“.

Тъй като полезният товар, пуснат от нападателите в компрометираните системи, все още не е известен, на администраторите на сървъри се препоръчва да проверяват всички модове за подозрителни файлови допълнения с помощта на скенерите ‘jSus’ или ‘jNeedle’.

На играчите, използващи модове, за които е известно, че са уязвими, се препоръчва да извършат подобни сканирания на своята директория .minecraft или на директорията по подразбиране, използвана от техния стартиращ модул, за да проверят за необичайни файлове или зловреден софтуер.

На потребителите на настолни компютри също се препоръчва да извършат антивирусно сканиране, за да проверят дали в системата не са инсталирани злонамерени изпълними файлове.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!