Les pirates exploitent activement une vulnérabilité d’exécution de code à distance « BleedingPipe » dans les mods Minecraft pour exécuter des commandes malveillantes sur les serveurs et les clients, leur permettant ainsi de prendre le contrôle des appareils.

BleedingPipe est une vulnérabilité trouvée dans de nombreux mods Minecraft causée par le utilisation incorrecte de la désérialisation dans la classe ‘ObjectInputStream’ en Java pour échanger des paquets réseau entre serveurs et clients.

En bref, les attaquants envoient des paquets réseau spécialement conçus aux serveurs de mod Minecraft vulnérables pour prendre le contrôle des serveurs.

Les acteurs malveillants peuvent ensuite utiliser ces serveurs piratés pour exploiter les failles des mêmes mods Minecraft utilisés par les joueurs qui se connectent au serveur, leur permettant également d’installer des logiciels malveillants sur ces appareils.

Dans un nouveau rapport d’une communauté de sécurité Minecraft (MMPA), les chercheurs ont découvert que la faille affecte de nombreux mods Minecraft exécutés sur 1.7.10/1.12.2 Forge, qui utilise un code de désérialisation non sécurisé.

Publicité

Activement exploité en juillet

Les premiers signes d’exploitation de BleedingPipe sont apparus dans la nature en mars 2022 mais ont été rapidement corrigés par les développeurs de mods.

Cependant, plus tôt ce mois-ci, un message du forum Forge a mis en garde contre une exploitation active à grande échelle utilisant un RCE zero-day inconnu pour voler les cookies de session Discord et Steam des joueurs.

« Le 9 juillet 2023, un Message du forum Forge a été réalisé à propos d’un RCE se déroulant en direct sur un serveur, parvenant à compromettre le serveur et à envoyer les informations d’identification Discord des clients, indiquant la propagation aux clients », a expliqué L’article du MMPA.

« Le problème a été limité à 3 mods : EnderCore, BDLib et LogisticsPipes. Cependant, ce message n’a pas été diffusé et la plupart n’en étaient pas conscients. »

Après des recherches plus approfondies, la MMPA a découvert que la vulnérabilité BleedingPipe est également présente dans les mods Minecraft suivants :

  • EnderCore
  • Versions de LogisticsPipes antérieures à 0.10.0.71
  • BDLib 1.7 à 1.12
  • Déménagement intelligent 1.12
  • Brasero
  • DankNull
  • Gadomancie
  • Advent of Ascension (Nevermine) version 1.12.2
  • Astral Sorcery versions 1.9.1 et antérieures
  • Versions EnderCore inférieures à 1.12.2-0.5.77
  • Versions de JourneyMap inférieures à 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) versions 1.5.2 à 1.6.4
  • Versions RebornCore inférieures à 4.7.3
  • Versions Thaumic Tinkerer inférieures à 2.3-138

Cependant, il est essentiel de noter que la liste ci-dessus n’est pas complète et que BleedingPipe a potentiellement un impact sur beaucoup plus de mods.

MMPA indique qu’un acteur malveillant recherche activement les serveurs Minecraft sur Internet qui sont affectés par cette faille pour mener des attaques, il est donc essentiel de réparer tous les mods vulnérables installés sur les serveurs.

Pour protéger vos services et appareils de BleedingPipe, téléchargez la dernière version des mods concernés à partir des canaux de publication officiels.

Si le mod que vous utilisez n’a pas corrigé la vulnérabilité via une mise à jour de sécurité, vous devez migrer vers un fork qui a adopté les correctifs.

L’équipe MMPA a également publié un ‘Bloqueur de tuyaux‘ mod pour protéger à la fois les serveurs forge et les clients en filtrant le trafic réseau ‘ObjectInputSteam’.

Comme la charge utile déposée par les attaquants sur les systèmes compromis n’est pas encore connue, il est recommandé aux administrateurs de serveur de vérifier tous les mods pour détecter les ajouts de fichiers suspects à l’aide du ‘jSus‘ ou ‘jaiguille‘scanners.

Il est conseillé aux joueurs utilisant des mods connus pour être vulnérables d’effectuer des analyses similaires sur leur .Minecraft répertoire ou le répertoire par défaut utilisé par leur lanceur de mod pour rechercher des fichiers inhabituels ou des logiciels malveillants.

Il est également conseillé aux utilisateurs d’ordinateurs de bureau d’exécuter une analyse antivirus pour rechercher les exécutables malveillants installés sur le système.

4.2/5 - (12 votes)
Publicité
Article précédentDonjons & Dragons : Revue de l’honneur parmi les voleurs
Article suivantBragar Eaglel & Squire, PC rappelle aux investisseurs cette classe
Papillion Linville
Papillion Linville

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici