Уязвимость BleedingPipe, обнаруженная во многих модах для Minecraft, может использоваться для запуска вредоносных команд на серверах и в клиентах, что позволяет хакерам получить полный контроль над устройствами. Уязвимость затрагивает многие моды для Minecraft, в основном работающие на популярной моддинг-платформе Forge, которая, как оказалось, использует небезопасную десериализацию.
Проблема была обнаружена сообществом безопасности Minecraft (MMPA), и исследователи считают, что первые сообщения об эксплуатации уязвимости появились еще в марте 2022 года, однако тогда моддеры быстро выпустили патчи.
Теперь же на форуме Forge появилось предупреждение о массовых атаках с использованием неизвестной уязвимости нулевого дня, которая используется для кражи сессионных cookie Discord и Steam.
«9 июля 2023 года на форуме Forge было опубликовано сообщение об удаленном выполнении кода, произошедшем на сервере в режиме реального времени. [Хакерам] удалось скомпрометировать сервер и получить учетные данные клиентов в Discord, что свидетельствовало о распространении [атаки] на клиентов, — поясняют в MMPA. — Тогда проблема была сведена к трем модам: EnderCore, BDLib и LogisticsPipes. Однако этот пост не получил широкого распространения, и большинство об этом не знало».
По данным MMPA, уязвимость связана с некорректным использованием десериализации в классе ObjectInputStream, который используется для обмена сетевыми пакетами между серверами и клиентами. То есть злоумышленники отправляют специально подготовленные сетевые пакеты на уязвимые серверы, чтобы захватить контроль над ними.
После этого атакующие могут использовать взломанные серверы для эксплуатации уязвимостей в тех же модах Minecraft, которые используются игроками, подключающимися к серверу, что позволяет хакерам устанавливать малварь на их устройства.
Исследователи обнаружили, что уязвимость затрагивает многие моды Minecraft, работающие на 1.7.10/1.12.2 Forge, которые используют небезопасную десериализацию.
В настоящее время в MMPA выяснили, что уязвимость BleedingPipe присутствует в следующих модах (но явно ими не ограничивается):
- EnderCore;
- LogisticsPipes старше версии 0.10.0.71;
- BDLib от 1.7 до 1.12;
- Smart Moving 1.12;
- Brazier;
- DankNull;
- Gadomancy;
- Advent of Ascension (Nevermine) версии 1.12.2;
- Astral Sorcery версии 1.9.1 и старше;
- EnderCore версии нише 1.12.2-0.5.77;
- JourneyMap версии ниже 1.16.5-5.7.2;
- Minecraft Comes Alive (MCA) от 1.5.2 до 1.6.4;
- RebornCore версии ниже 4.7.3;
- Thaumic Tinkerer версии ниже 2.3-138.
MMPA предупреждает, что сейчас злоумышленники активно сканируют серверы Minecraft, в поисках уязвимых пред BleedingPipe, и затем используют проблему для проведения атак.
Всех призывают как можно скорее пропатчить любые уязвимые моды, установленные на серверах. Если используемый мод пока не получил исправлений, следует срочно перейти на форк, где уже приняты патчи.
Команда MMPA также подготовила мод PipeBlocker, предназначенный для защиты серверов и клиентов (путем фильтрации сетевого трафика ObjectInputSteam).
Поскольку пока неясно, какую именно полезную нагрузку хакеры загружают в скомпрометированные системы, администраторам серверов рекомендуется проверять все моды на наличие подозрительных файлов с помощью сканеров jSus или jNeedle.
Игрокам, использующим уязвимые моды, рекомендуется выполнить сканирование каталога .minecraft (или каталога по умолчанию, используемого мод-лаунчером), поискав необычные файлы и потенциальную малварь.
