Οι χάκερ εκμεταλλεύονται το BleedingPipe RCE για να στοχεύσουν διακομιστές και παίκτες Minecraft

Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα «BleedingPipe» στα mods του

Minecraft

για να εκτελέσουν κακόβουλες εντολές σε διακομιστές και πελάτες, επιτρέποντάς τους να αναλάβουν τον έλεγχο των συσκευών.

Το BleedingPipe είναι μια ευπάθεια που βρίσκεται σε πολλά mods του Minecraft που προκαλείται από το

λανθασμένη χρήση του deserialization

στην κλάση «ObjectInputStream» στην Java για την ανταλλαγή πακέτων δικτύου μεταξύ διακομιστών και πελατών.

Εν ολίγοις, οι επιτιθέμενοι στέλνουν ειδικά δημιουργημένα πακέτα δικτύου σε ευάλωτους διακομιστές mod Minecraft για να καταλάβουν τους διακομιστές.

Οι φορείς απειλών μπορούν στη συνέχεια να χρησιμοποιήσουν αυτούς τους χακαρισμένους διακομιστές για να εκμεταλλευτούν τα ελαττώματα των ίδιων mods του Minecraft που χρησιμοποιούνται από παίκτες που συνδέονται με τον διακομιστή, επιτρέποντάς τους να εγκαταστήσουν κακόβουλο λογισμικό και σε αυτές τις συσκευές.

Σε μια νέα έκθεση μιας κοινότητας ασφαλείας του Minecraft (MMPA), οι ερευνητές ανακάλυψαν ότι το ελάττωμα επηρεάζει πολλά mods του Minecraft που εκτελούνται στην έκδοση 1.7.10/1.12.2 Forge, η οποία χρησιμοποιεί μη ασφαλή κώδικα αφαίρεσης.

Έγινε ενεργή εκμετάλλευση τον Ιούλιο

Τα πρώτα σημάδια εκμετάλλευσης του BleedingPipe εμφανίστηκαν στη φύση τον Μάρτιο του 2022, αλλά διορθώθηκαν γρήγορα από τους προγραμματιστές mod.

Ωστόσο, νωρίτερα αυτόν τον μήνα, μια ανάρτηση στο φόρουμ του Forge προειδοποίησε για ενεργή εκμετάλλευση μεγάλης κλίμακας χρησιμοποιώντας ένα άγνωστο μηδενικής ημέρας RCE για την κλοπή των cookies

Discord

και

Steam

session των παικτών.

«Στις 9 Ιουλίου 2023, α

Forge ανάρτηση φόρουμ

έγινε για ένα RCE που συμβαίνει ζωντανά σε έναν διακομιστή, καταφέρνοντας να παραβιάσει τον διακομιστή και να στείλει τα διαπιστευτήρια διαφωνίας των πελατών, υποδεικνύοντας τη διάδοση στους πελάτες», εξήγησε

Το άρθρο του MMPA

.

“Το ζήτημα καταγράφηκε σε 3 mods: EnderCore, BDLib και LogisticsPipes. Ωστόσο, αυτή η ανάρτηση δεν έγινε mainstream και οι περισσότεροι δεν γνώριζαν.”

Μετά από περαιτέρω έρευνα, το MMPA διαπίστωσε ότι η ευπάθεια BleedingPipe είναι επίσης παρούσα στα ακόλουθα mods του Minecraft:

• EnderCore
• Εκδόσεις LogisticsPipes παλαιότερες από 0.10.0.71
• BDLib 1.7 έως 1.12
• Smart Moving 1.12
• Μαγκάλι
• DankNull
• Gadomancy
• Advent of Ascension (Nevermine) έκδοση 1.12.2
• Astral Sorcery εκδόσεις 1.9.1 και παλαιότερες
• Εκδόσεις EnderCore κάτω από 1.12.2-0.5.77
• Εκδόσεις JourneyMap κάτω από 1.16.5-5.7.2
• Minecraft Comes Alive (MCA) εκδόσεις 1.5.2 έως 1.6.4
• Εκδόσεις RebornCore κάτω από την 4.7.3
• Εκδόσεις Thaumic Tinkerer κάτω από 2.3-138

Ωστόσο, είναι σημαντικό να σημειωθεί ότι η παραπάνω λίστα δεν είναι πλήρης και ότι το BleedingPipe ενδέχεται να επηρεάσει

πολλά άλλα mods

.

Το MMPA λέει ότι ένας παράγοντας απειλών σαρώνει ενεργά για διακομιστές Minecraft στο Διαδίκτυο που επηρεάζονται από αυτό το ελάττωμα για να διεξάγουν επιθέσεις, επομένως η διόρθωση τυχόν ευάλωτων mods που είναι εγκατεστημένα σε διακομιστές είναι απαραίτητη.

Για να προστατέψετε τις υπηρεσίες και τις συσκευές σας από το BleedingPipe, πραγματοποιήστε λήψη της πιο πρόσφατης έκδοσης επηρεαζόμενων mods από τα επίσημα κανάλια κυκλοφορίας.

Εάν το mod που χρησιμοποιείτε δεν έχει αντιμετωπίσει την ευπάθεια μέσω μιας ενημέρωσης ασφαλείας, θα πρέπει να κάνετε μετεγκατάσταση σε ένα fork που έχει υιοθετήσει τις επιδιορθώσεις.

Η ομάδα MMPA κυκλοφόρησε επίσης ένα «

PipeBlocker

‘ mod για την προστασία τόσο των διακομιστών forge όσο και των πελατών φιλτράροντας την κυκλοφορία δικτύου «ObjectInputSteam».

Καθώς το ωφέλιμο φορτίο που έπεσαν από τους εισβολείς σε παραβιασμένα συστήματα δεν είναι ακόμη γνωστό, συνιστάται στους διαχειριστές διακομιστών να ελέγχουν όλα τα mods για ύποπτες προσθήκες αρχείων χρησιμοποιώντας το «

jSus

‘ ή ‘

jΒελόνα

σαρωτές.

Συνιστάται στους παίκτες που χρησιμοποιούν mods που είναι γνωστό ότι είναι ευάλωτοι να κάνουν παρόμοιες σαρώσεις στο δικό τους

.minecraft

κατάλογο ή τον προεπιλεγμένο κατάλογο που χρησιμοποιείται από το πρόγραμμα εκκίνησης mod για τον έλεγχο για ασυνήθιστα αρχεία ή κακόβουλο λογισμικό.

Συνιστάται επίσης στους χρήστες επιτραπέζιων υπολογιστών να εκτελέσουν σάρωση προστασίας από ιούς για να ελέγξουν για κακόβουλα εκτελέσιμα αρχεία που είναι εγκατεστημένα στο σύστημα.