Hackers exploram o BleedingPipe RCE para atacar servidores e jogadores do Minecraft
1 de Agosto de 2023

Hackers estão ativamente explorando uma vulnerabilidade de execução remota de código 'BleedingPipe' em mods de Minecraft para executar comandos maliciosos em servidores e clientes, permitindo que eles assumam o controle dos dispositivos.

BleedingPipe é uma vulnerabilidade encontrada em muitos mods de Minecraft causada pelo uso incorreto da deserialização na classe 'ObjectInputStream' em Java para trocar pacotes de rede entre servidores e clientes.

Resumindo, os invasores enviam pacotes de rede especialmente criados para servidores de mods de Minecraft vulneráveis para assumir o controle dos servidores.

Os atores de ameaças então podem usar esses servidores hackeados para explorar as falhas nos mesmos mods de Minecraft usados por jogadores que se conectam ao servidor, permitindo que instalem malware nesses dispositivos também.

Em um novo relatório de uma comunidade de segurança Minecraft (MMPA), os pesquisadores descobriram que a falha afeta muitos mods de Minecraft rodando no 1.7.10/1.12.2 Forge, que usa código de deserialização inseguro.

Os primeiros sinais de exploração de BleedingPipe apareceram em Março de 2022, mas foram rapidamente corrigidos pelos desenvolvedores dos mods.

No entanto, no início deste mês, uma postagem no fórum Forge alertou sobre a exploração ativa em larga escala usando um RCE zero-day desconhecido para roubar os cookies de sessão do Discord e Steam dos jogadores.

"No dia 9 de julho de 2023, uma postagem no fórum Forge foi feita sobre um RCE acontecendo ao vivo em um servidor, conseguindo comprometer o servidor e enviar credenciais do discord dos clientes, indicando a propagação para os clientes", explicou o artigo do MMPA.

"O problema foi reduzido a 3 mods; EnderCore, BDLib e LogisticsPipes.

No entanto, essa postagem não se tornou popular, e a maioria não estava ciente."

Após mais pesquisas, o MMPA descobriu que a vulnerabilidade BleedingPipe também está presente nos seguintes mods de Minecraft:
- EnderCore
- LogisticsPipes versions older than 0.10.0.71
- BDLib 1.7 through 1.12
- Smart Moving 1.12
- Brazier
- DankNull
- Gadomancy
- Advent of Ascension (Nevermine) version 1.12.2
- Astral Sorcery versions 1.9.1 and older
- EnderCore versions below 1.12.2-0.5.77
- JourneyMap versions below 1.16.5-5.7.2
- Minecraft Comes Alive (MCA) versions 1.5.2 through 1.6.4
- RebornCore versions below 4.7.3
- Thaumic Tinkerer versions below 2.3-138

No entanto, é essencial notar que a lista acima não está completa, e BleedingPipe impacta potencialmente muitos mais mods.

O MMPA diz que um ator de ameaças está ativamente procurando por servidores de Minecraft na internet que são impactados por essa falha para realizar ataques, então é essencial corrigir qualquer mod vulnerável instalado nos servidores.

Para proteger seus serviços e dispositivos de BleedingPipe, faça o download da última versão dos mods impactados pelos canais oficiais de lançamento.

Se o mod que você está usando não tratou da vulnerabilidade por meio de uma atualização de segurança, você deve migrar para um fork que adotou as correções.

A equipe do MMPA também lançou um mod 'PipeBlocker' para proteger tanto servidores quanto clientes forge filtrando o tráfego de rede 'ObjectInputStream'.

Como o payload soltado pelos invasores nos sistemas comprometidos ainda não é conhecida, recomenda-se que os administradores de servidor verifiquem todos os mods para adições de arquivos suspeitos usando os escâneres 'jSus' ou 'jNeedle'.

Os jogadores que usam mods conhecidos por serem vulneráveis são aconselhados a realizar varreduras semelhantes em seu diretório .minecraft ou o diretório padrão usado por seu lançador de mods para verificar arquivos incomuns ou malware.

Usuários de desktop também são aconselhados a executar uma varredura antivírus para verificar executáveis maliciosos instalados no sistema.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...