Хакерите активно използват уязвимостта „BleedingPipe“ за отдалечено изпълнение на код в модовете на Minecraft, за да изпълняват злонамерени команди на сървъри и клиенти, което им позволява да поемат контрол над устройствата.
BleedingPipe е уязвимост, открита в много модове на Minecraft, причинена от неправилното използване на десериализация в класа ‘ObjectInputStream’ в Java за обмен на мрежови пакети между сървъри и клиенти.
Накратко, нападателите изпращат специално създадени мрежови пакети до уязвимите сървъри на мода Minecraft, за да завладеят сървърите.
След това участниците в заплахата могат да използват тези хакнати сървъри, за да използват недостатъци в същите модове Minecraft, използвани от играчите, които се свързват със сървъра, което им позволява да инсталират зловреден софтуер и на тези устройства.
В нов доклад на общността за сигурност на Minecraft (MMPA) изследователите са установили, че недостатъкът засяга много Minecraft модове, работещи на 1.7.10/1.12.2 Forge, които използват опасен код за десериализация.
Първите признаци за експлоатация на BleedingPipe се появиха в дивата природа през март 2022 г., но бързо бяха отстранени от разработчиците на модове.
По-рано този месец обаче публикация във форума на Forge предупреждава за мащабна активна експлоатация, при която се използва неизвестен RCE с нулев ден за кражба на бисквитките на сесиите на играчите в Discord и Steam.
„На 9 юли 2023 г. във форума на Forge беше публикуван пост за RCE, който се случва на живо на сървър, като успява да компрометира сървъра и да изпрати идентификационните данни за Discord на клиентите, което показва разпространението на клиентите“, се обяснява в статията на MMPA.
„Проблемът е свързан с 3 мода: EnderCore, BDLib и LogisticsPipes. Тази публикация обаче не беше разпространена и повечето не бяха наясно“.
След допълнителни проучвания MMPA установи, че уязвимостта BleedingPipe присъства и в следните модове на Minecraft:
Важно е обаче да се отбележи, че горният списък не е пълен и BleedingPipe потенциално може да повлияе на много повече модификации.
MMPA казва, че заплахата активно сканира за Minecraft сървъри в интернет, които са засегнати от този недостатък, за да извършва атаки, така че поправянето на всички уязвими модове, инсталирани на сървърите, е от съществено значение.
За да защитите услугите и устройствата си от BleedingPipe, изтеглете последната версия на засегнатите модове от официалните канали за издаване.
Ако използваният от вас мод не е отстранил уязвимостта чрез актуализация на сигурността, трябва да преминете към разклонение, което е приело поправките.
Екипът на MMPA също така пусна мод „PipeBlocker“ за защита на сървърите за подправяне и клиентите чрез филтриране на мрежовия трафик „ObjectInputSteam“.
Тъй като полезният товар, пуснат от нападателите в компрометираните системи, все още не е известен, на администраторите на сървъри се препоръчва да проверяват всички модове за подозрителни файлови допълнения с помощта на скенерите ‘jSus’ или ‘jNeedle’.
На играчите, използващи модове, за които е известно, че са уязвими, се препоръчва да извършат подобни сканирания на своята директория .minecraft или на директорията по подразбиране, използвана от техния стартиращ модул, за да проверят за необичайни файлове или зловреден софтуер.
На потребителите на настолни компютри също се препоръчва да извършат антивирусно сканиране, за да проверят дали в системата не са инсталирани злонамерени изпълними файлове.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.