Minecraft-server-protect-from-log4j » target= »_blank »>Joueurs Minecraft et les opérateurs de serveurs sont confrontés à de nouveaux risques de sécurité suite à la découverte d’une vulnérabilité dans certains mods et packs de mods ultérieurs qui permet l’exécution de code à distance en cas d’exploitation. Des correctifs sont déployés et la gestion des vulnérabilités est active, mais les joueurs pourraient toujours être à risque si leurs mods sont obsolètes.
Plus tôt en juillet, un message a été envoyé au Forums Minecraft Forge montrant ce qui semblait être un exploit zero-day sur un serveur Minecraft 1.12.2 Enigmatica 2. L’exploit a apparemment exécuté du code sur les PC clients connectés au serveur, permettant à l’attaquant de voler des sessions de navigateur, des jetons Discord et des sessions Steam. Cette exploitation a déclenché une enquête, aboutissant à un article de blog de MMPA, qui a surnommé cette attaque « BleedingPipe ».
MMPA a expliqué que cette attaque est une Java attaque de désérialisation, dans lequel un service convertit de manière non sécurisée un flux d’octets pouvant être contrôlé par l’utilisateur en un objet. Le billet de blog note en outre qu’il n’y a aucun moyen de détecter l’exploit, mais on sait qu' »un mauvais acteur a scanné tous les serveurs Minecraft sur l’espace d’adressage IPv4 pour exploiter en masse les serveurs vulnérables ». Cet exploit est également prétendument lié aux mods EnderCore, LogisticsPipes, version 1.7-1.12 de BDLib, Smart Moving 1.12, Brazier, DankNull et Gadomancy. Cependant, ce n’est pas la fin de l’histoire.
L’utilisateur de GitHub dogboy21 a publié un projet sur GitHub intitulé serializationisbad, dans lequel il explique que l’utilisation réelle de l’exploit dans la nature est faible. Cependant, toute personne qui joue sur un serveur ou possède un serveur avec des mods non corrigés est à risque, et dogboy21 répertorie trois douzaines de mods (ci-dessous) qui sont affectés par la vulnérabilité.
- ÉtherCraft
- Advent of Ascension (Nevermine) (affecte uniquement les versions pour Minecraft 1.12.2)
- Flèches Plus
- Sorcellerie astrale (versions concernées :
- BdLib (affecte uniquement les versions pour Minecraft 1.7.10-1.12.2)
- Carbonisation
- CreativeCore (affecte uniquement les versions pour Minecraft 1.7.10)
- Capes d’amis personnalisées
- CustomOreGen
- DankNull
- Manipulation de l’énergie
- EnderCore (Fixé introduit dans 1.7.10-0.2.0.40_beta, 1.10-0.4.0.36-beta, 1.10.2-0.4.1.67-beta et 1.12.2-0.5.77. Voir #36)
- EndermanEvolution
- Extrafirme
- Gadomancie
- La bibliothèque de Giacomo
- Immersive Armors (Corrigé dans la version 1.5.6 pour Minecraft 1.18.2, 1.19.2-1.19.4, 1.20, les versions pour 1.16.5, 1.17.1, 1.18.1, 1.19.0, 1.19.1 restent affectées, pertinentes commettre)
- Avion immersif
- Peintures immersives
- JourneyMap (problème introduit dans 1.16.5-5.7.1 et corrigé dans 1.16.5-5.7.2 Aucune autre version n’a été affectée)
- LanteaCraft / SGCraft
- LogisticsPipes (affecte uniquement les versions pour Minecraft 1.4.7-1.7.10. Corrigé dans la version 0.10.0.71 pour MC 1.7.10, avis de sécurité pertinent)
- Minecraft Comes Alive (MCA) (affecte uniquement les versions pour Minecraft 1.5.2-1.6.4)
- MattDahEpic Core (MDECore) (affecte uniquement les versions pour Minecraft 1.8.8-1.12.2)
- mxTune (affecte uniquement les versions pour Minecraft 1.12-1.16.5)
- Les choses de p455w0rd
- Projet Bleu
- RadixCore
- RebornCore (versions concernées : >= 3.13.8,
- Réalisations simples
- Mouvement intélligent
- Étrange
- Config Lib de SuperMartijn642 (corrigé dans la version 1.0.9, avis de sécurité pertinent)
- Thaumic Tinkerer (Corrigé dans la version 2.3-138 pour Minecraft 1.7.2, les versions pour 1.6-1.6.4 restent affectées, commit pertinent)
- Expansion difficile
- ttCore (affecte uniquement les versions pour Minecraft 1.7.10)
Dogboy21 explique également qu’eux-mêmes et d’autres contributeurs « essayaient d’enquêter sur l’ensemble du problème en privé et de manière responsable afin que nous puissions publier un article détaillé et résoudre l’ensemble de la situation, mais depuis qu’un groupe nommé MMPA vient de publier un article de blog sur le problème, manquant complètement beaucoup facteurs importants concernant le problème, nous avons été obligés de publier une déclaration et d’essayer de résoudre le problème immédiatement car, à l’heure actuelle, ils mettent littéralement en danger des millions d’utilisateurs moddés de Minecraft.
Quelle que soit la manière dont la vulnérabilité a été divulguée, il existe toujours un risque important pour de nombreux modded Minecraft joueurs. Ainsi, les auteurs de mods doivent travailler à patcher leurs mods soit à la main, soit avec L’outil de dogboy21, et les joueurs devraient peut-être s’abstenir de rejoindre les serveurs s’ils pensent qu’ils pourraient être à risque, car vous ne pouvez pas être exploité hors ligne. Alternativement, il y a un mod qui soi-disant protège les joueurs contre l’exploitation en utilisant la désérialisation, mais soyez prudent lorsque vous l’utilisez.