Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах

Уязвимость BleedingPipe, обнаруженная во многих модах для Minecraft, может привести к запуску вредоносных команд на серверах и клиентах, что дает хакерам полный контроль над устройствами. Уязвимость затрагивает моды для Minecraft, работающие на платформе Forge, которая использует небезопасную десериализацию.

Эксперты сообщества безопасности Minecraft (MMPA) обнаружили проблему, и первые случаи эксплуатации уязвимости были замечены еще в марте 2022 года, но тогда быстро были выпущены патчи. Теперь появилось предупреждение о массовых атаках с использованием неизвестной уязвимости нулевого дня, направленной на кражу сессионных cookie Discord и Steam.

Уязвимость связана с некорректным использованием десериализации в классе ObjectInputStream, который используется для обмена сетевыми пакетами между серверами и клиентами. Злоумышленники отправляют специально подготовленные сетевые пакеты на уязвимые серверы, чтобы захватить контроль над ними.

После захвата серверов, атакующие могут использовать уязвимости в модах Minecraft, которые используют игроки, подключающиеся к серверу, чтобы устанавливать вредоносное программное обеспечение на их устройства.

Уязвимость BleedingPipe затрагивает многие моды Minecraft, работающие на 1.7.10/1.12.2 Forge и использующие небезопасную десериализацию. Список модов, в которых обнаружена уязвимость, включает EnderCore, LogisticsPipes (версия ниже 0.10.0.71), BDLib (от 1.7 до 1.12), Smart Moving (1.12), Brazier, DankNull, Gadomancy, Advent of Ascension (Nevermine) (версия 1.12.2), Astral Sorcery (версия 1.9.1 и старше), EnderCore (версия ниже 1.12.2-0.5.77), JourneyMap (версия ниже 1.16.5-5.7.2), Minecraft Comes Alive (MCA) (от 1.5.2 до 1.6.4), RebornCore (версия ниже 4.7.3), и Thaumic Tinkerer (версия ниже 2.3-138).

MMPA предупреждает, что злоумышленники активно сканируют серверы Minecraft в поисках уязвимых модов BleedingPipe, чтобы провести атаку.

Рекомендации от MMPA включают неотложную патчинг всех уязвимых модов, установленных на серверах. Если моды еще не получили исправления, рекомендуется перейти на форк, в котором уже внесены патчи. Мод PipeBlocker был разработан командой MMPA для защиты серверов и клиентов путем фильтрации сетевого трафика ObjectInputStream.

Администраторам серверов рекомендуется проверить все моды на наличие подозрительных файлов с помощью сканеров, таких как jSus или jNeedle. Игрокам, использующим уязвимые моды, рекомендуется выполнить сканирование каталога .minecraft (или каталога по умолчанию, используемого мод-лаунчером), чтобы обнаружить необычные файлы и потенциальное вредоносное ПО.

Для защиты от эксплуатации уязвимости BleedingPipe и предотвращения возможных атак необходимо срочно принять соответствующие меры и следовать рекомендациям безопасности.