Les pirates exploitent activement une vulnérabilité d’exécution de code à distance « BleedingPipe » dans les mods Minecraft pour exécuter des commandes malveillantes sur les serveurs et les clients, leur permettant de prendre le contrôle des appareils.

BleedingPipe est une vulnérabilité trouvée dans de nombreux mods Minecraft causée par le utilisation incorrecte de la désérialisation dans la classe ‘ObjectInputStream’ en Java pour échanger des paquets réseau entre serveurs et clients.

En bref, les attaquants envoient des paquets réseau spécialement conçus aux serveurs de mod Minecraft vulnérables pour prendre le contrôle des serveurs.

Les acteurs de la menace peuvent ensuite utiliser ces serveurs piratés pour exploiter les failles des mêmes mods Minecraft utilisés par les joueurs qui se connectent au serveur, leur permettant également d’installer des logiciels malveillants sur ces appareils.

Dans un nouveau rapport d’une communauté de sécurité Minecraft (MMPA), les chercheurs ont découvert que la faille affecte de nombreux mods Minecraft fonctionnant sur 1.7.10/1.12.2 Forge, qui utilise un code de désérialisation non sécurisé.

Publicité

Activement exploité en juillet

Les premiers signes d’exploitation de BleedingPipe sont apparus dans la nature en mars 2022 mais ont été rapidement corrigés par les développeurs de mods.

Cependant, plus tôt ce mois-ci, un message sur le forum Forge a mis en garde contre une exploitation active à grande échelle utilisant un RCE zero-day inconnu pour voler les cookies de session Discord et Steam des joueurs.

« Le 9 juillet 2023, un Forger un message sur le forum a été fait à propos d’un RCE se déroulant en direct sur un serveur, réussissant à compromettre le serveur et à envoyer les informations d’identification de discorde des clients, indiquant la propagation aux clients « , a expliqué L’article de MMPA.

« Le problème a été cloué à 3 mods; EnderCore, BDLib et LogisticsPipes. Cependant, ce message n’est pas devenu courant et la plupart n’étaient pas au courant. »

Après de plus amples recherches, la MMPA a découvert que la vulnérabilité BleedingPipe est également présente dans les mods Minecraft suivants :

  • EnderCore
  • Versions de LogisticsPipes antérieures à 0.10.0.71
  • BDLib 1.7 à 1.12
  • Déménagement intelligent 1.12
  • Brasero
  • DankNull
  • Gadomancie
  • Avènement de l’Ascension (Nevermine) version 1.12.2
  • Astral Sorcery versions 1.9.1 et antérieures
  • Versions EnderCore inférieures à 1.12.2-0.5.77
  • Versions JourneyMap inférieures à 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) versions 1.5.2 à 1.6.4
  • Versions de RebornCore inférieures à 4.7.3
  • Versions Thaumic Tinkerer inférieures à 2.3-138

Cependant, il est essentiel de noter que la liste ci-dessus n’est pas complète et que BleedingPipe a potentiellement un impact beaucoup plus de modules.

MMPA indique qu’un acteur malveillant recherche activement les serveurs Minecraft sur Internet qui sont touchés par cette faille pour mener des attaques, il est donc essentiel de réparer tous les mods vulnérables installés sur les serveurs.

Pour protéger vos services et appareils contre BleedingPipe, téléchargez la dernière version des mods concernés à partir des canaux de publication officiels.

Si le mod que vous utilisez n’a pas corrigé la vulnérabilité via une mise à jour de sécurité, vous devez migrer vers un fork qui a adopté les correctifs.

L’équipe MMPA a également publié un ‘Bloqueur de tuyaux‘ mod pour protéger à la fois les serveurs et les clients forge en filtrant le trafic réseau ‘ObjectInputSteam’.

Comme la charge utile déposée par les attaquants sur les systèmes compromis n’est pas encore connue, il est recommandé aux administrateurs de serveur de vérifier tous les mods pour les ajouts de fichiers suspects en utilisant le ‘jSus‘ ou ‘jAiguille‘ scanners.

Les joueurs utilisant des mods connus pour être vulnérables sont invités à effectuer des analyses similaires sur leur .Minecraft répertoire ou le répertoire par défaut utilisé par leur lanceur de mods pour rechercher des fichiers inhabituels ou des logiciels malveillants.

Les utilisateurs de bureau sont également invités à exécuter une analyse antivirus pour vérifier les exécutables malveillants installés sur le système.

4.9/5 - (40 votes)
Publicité
Article précédentLa zone de départ parfaite à Elden Ring
Article suivantLe réalisateur de One Piece Episode 1071 brise le silence sur l’adaptation animée de Gear 5
Papillion Linville
Papillion Linville

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici