Bilgisayar korsanları, Minecraft Mods'ta sunucular ve istemcilerde kötü amaçlı komutlar çalıştırmak için 'BleedingPipe' uzaktan kod yürütme güvenlik açığından aktif olarak yararlanıyor ve cihazların kontrolünü ele geçirmelerine izin veriyor.
Bleedingpipe, sunucular ve istemciler arasında ağ paketlerini değiştirmek için Java'daki 'ObjectInputStream' sınıfında seansizasyonun yanlış kullanımından kaynaklanan birçok minecraft modunda bulunan bir güvenlik açığıdır.
Kısacası, saldırganlar sunucuları devralmak için savunmasız Minecraft Mod sunucularına özel hazırlanmış ağ paketleri gönderiyor.
Tehdit aktörleri daha sonra, sunucuya bağlanan oyuncular tarafından kullanılan aynı Minecraft modlarında kusurlardan yararlanmak için bu hacklenen sunucuları kullanabilir ve bu cihazlara da kötü amaçlı yazılım yüklemelerine izin verir.
Bir Minecraft Güvenlik Topluluğu (MMPA) tarafından yapılan yeni bir raporda, araştırmacılar, kusurun güvenli olmayan sealizasyon kodu kullanan 1.7.10/1.12.2 Forge'da çalışan birçok Minecraft modunu etkilediğini bulmuşlardır.
Kanama borusu sömürüsünün ilk belirtileri Mart 2022'de Wild'da ortaya çıktı, ancak MOD geliştiricileri tarafından hızla sabitlendi.
Bununla birlikte, bu ayın başlarında, bir Forge Forum Post, oyuncuların anlaşmazlıklarını ve buhar oturum çerezlerini çalmak için bilinmeyen bir sıfır gün RCE kullanarak büyük ölçekli aktif sömürü konusunda uyardı.
MMPA'nın makalesi, "9 Temmuz 2023'te, bir sunucuda canlı olarak gerçekleşen bir RCE hakkında bir Forge Forum postası yapıldı, sunucuyu uzlaştırmayı ve istemcilerin uyumsuzluk kimlik bilgilerini göndermeyi başardı," diye açıkladı MMPA'nın makalesi.
Diyerek şöyle devam etti: "Sorun 3 modda çivilenmişti; EnderCore, BDLIB ve logisticspipes. Ancak, bu yazı ana akıma gitmedi ve çoğu farkında değildi."
Daha ileri araştırmalardan sonra MMPA, kanama borusu güvenlik açığının aşağıdaki Minecraft modlarında da bulunduğunu bulmuştur:
Bununla birlikte, yukarıdaki listenin tamamlanmadığını ve Bleedingpipe'nin potansiyel olarak daha fazla modu etkilediğine dikkat etmek önemlidir.
MMPA, bir tehdit oyuncusunun internetteki Minecraft sunucuları için bu kusurdan etkilenen saldırılar yapmak için aktif olarak taradığını söylüyor, bu nedenle sunuculara yüklenen savunmasız modları düzeltmek esastır.
Hizmetlerinizi ve cihazlarınızı Bleedingpipe'den korumak için, Etkilenen Modların en son sürümünü resmi sürüm kanallarından indirin.
Kullandığınız mod, güvenlik açığını bir güvenlik güncellemesi yoluyla ele almadıysa, düzeltmeleri benimseyen bir çatalla geçiş yapmalısınız.
MMPA ekibi ayrıca 'ObjectInputSteam' ağ trafiğini filtreleyerek hem Forge sunucularını hem de istemcileri korumak için bir 'Pipeblocker' MOD'u yayınladı.
Saldırganlar tarafından tehlikeye atılan sistemlere bırakılan yük henüz bilinmediğinden, sunucu yöneticilerinin 'JSUS' veya 'Jneedle' tarayıcılarını kullanarak tüm modları şüpheli dosya eklemeleri için kontrol etmeleri önerilir.
Savunmasız olduğu bilinen modları kullanan oyunculara, .Minecraft dizinlerinde veya MOD başlatıcısı tarafından olağandışı dosyaları veya kötü amaçlı yazılımları kontrol etmek için kullanılan varsayılan dizinde benzer taramalar yapmaları tavsiye edilir.
Masaüstü kullanıcılarına ayrıca sistemde yüklü kötü amaçlı yürütülebilir ürünleri kontrol etmek için bir antivirüs taraması çalıştırmaları önerilir.
300.000+ Fortinet Güvenlik Duvarı Kritik Fortios RCE HATA KORUNLUK
VMware, saldırılarda sömürülen kritik vrealize kusurunu uyarıyor
Popüler Ghostscript açık kaynaklı PDF kütüphanesinde bulunan eleştirel RCE
Fortinet, Fortios, Fortiproxy Cihazlardaki Kritik RCE Kusurunu uyarıyor
Microsoft: NATO Zirvesi Saldırılarında Sıralı Ofis Zero Day
Kaynak: Bleeping Computer