Когда хакеры страшнее криперов: используете моды в Minecraft – будьте готовы к последствиям

Игроки и владельцы серверов Minecraft столкнулись с новой и опасной уязвимостью, позволяющей злоумышленникам выполнить удаленный код на их компьютерах. Уязвимость, получившая название «BleedingPipe», была обнаружена группой MMPA (Minecraft Malware Prevention Alliance). Для заражения серверов, на которых установлен один из многих популярных модов, эксплуатируется проблема десериализации Java, то есть преобразования данных из двоичной формы обратно в исходный объект. Если игроки не используют моды или не играют на серверах с модами, они не могут быть заражены.

BleedingPipe использует проблему ObjectInputStream. Сначала хакер отправляет серверу вредоносные данные. Код сразу принимается и «десериализуется». Аналогично, если сам сервер заражен, двоичный код передается обратно клиенту (игроку), чей компьютер локально десериализует и выполнит его.

Студент компьютерных наук из Германии, известный под ником Dogboy21 на GitHub, определил более 30 популярных модов, имеющих уязвимость: от AetherCraft до Immersive Armors и ttCore. На странице Dogboy21 есть патч для исправления проблемы. Он предполагает получение нового JAR-файла, который нужно поместить в папку с модами. В блоге MMPA указаны дополнительные сервера, подверженные риску. Группа утверждает, что конкретно модпаки (наборы модов) версий 1.7.10 и 1.12.2 могут быть опасны.

Если злоумышленник выполнит код на стороне сервера или клиента, его возможности будут почти безграничны. Он легко найдет способ похитить чувствительную информацию и использовать ее для кражи идентификаторов, а также захватить контроль над компьютером для ботнет-атак на другие системы.

В начале июля игрок под псевдонимом Yoyoyopo5 управлял публичным сервером Forge 14.23.5.2860. Во время прямого эфира злоумышленник использовал BleedingPipe, чтобы получить контроль над устройствами всех подключенных пользователей. В своем сообщении об инциденте Yoyoyopo5 говорит, что хакер применил удаленный код для кражи информации из браузера, Discord и Steam.

MMPA утверждает: взломщик сканировал все серверы Minecraft в пространстве адресов IPv4 и, возможно, развернул на них вредоносную программу. Таким образом, любой сервер, на котором работает затронутый мод, может быть заражен.

BleedingPipe похож на другую недавно обнаруженную уязвимость Log4j в библиотеке Java. Minecraft.net, официальный сайт Microsoft, содержит предупреждение и информацию о том, как устранить Log4j.

Что можно сделать для защиты? Игрокам, использующим чужие серверы, MMPA рекомендует проверять каталог на наличие зараженных файлов с помощью сканеров, таких как JSus или jNeedle. Dogboy21 советует загрузить его патч .

Для тех, кто управляет сервером, предлагается запустить JSus или jNeedle на всех установленных модах. Также можно обновиться до последних версий EnderIO или LogisticsPipes. Группа создала свой собственный мод безопасности под названием PipeBlocker , который должен блокировать атаки.