Tin tặc khai thác lỗ hổng BletingPipe RCE để tấn công người chơi và máy chủ Minecraft

Tin tặc đang khai thác lỗ hổng thực thi mã từ xa 'BleedingPipe' trong các bản mod Minecraft để chạy các lệnh độc hại trên máy chủ và máy khách, cho phép chúng kiểm soát thiết bị.

BletingPipe là một lỗ hổng được phát hiện trong nhiều bản mod Minecraft do việc sử dụng deserialization không đúng cách trong class 'ObjectInputStream' trong Java để trao đổi các gói tin (network package) giữa máy chủ và máy khách.

Những kẻ tấn công có thể gửi các gói tin độc hại đến các máy chủ mod Minecraft bị ảnh hưởng để chiếm quyền điều khiển các máy chủ.

Sau đó, chúng có thể sử dụng các máy chủ bị xâm phạm để khai thác các lỗ hổng trong cùng một bản mod Minecraft được sử dụng bởi những người chơi kết nối với máy chủ để cài đặt phần mềm độc hại trên các thiết bị đó.

Trong một báo cáo mới của cộng đồng bảo mật Minecraft (MMPA), các nhà nghiên cứu đã phát hiện ra rằng lỗ hổng này ảnh hưởng đến nhiều bản mod Minecraft đang chạy trên 1.7.10/1.12.2 Forge sử dụng mã deserialization không an toàn.

Khai thác trong thực tế

Những dấu hiệu đầu tiên của việc khai thác BleedingPipe xuất hiện từ tháng 3 năm 2022 nhưng đã nhanh chóng được các nhà phát triển mod khắc phục.

Tuy nhiên, vào đầu tháng Bảy, một bài đăng trên diễn đàn Forge đã cảnh báo về việc khai thác quy mô lớn trong thực tế bằng cách sử dụng lỗ hổng RCE zero-day chưa xác định để đánh cắp cookie phiên của ứng dụng Discord và Steam của người chơi.

Bài đăng trên diễn đàn Forge của MMPA vào ngày 9 tháng 7 năm 2023 cho biết “một cuộc tấn công RCE đang diễn ra trực tiếp trên máy chủ, tìm cách xâm phạm máy chủ và đánh cắp thông tin đăng nhập Discord của khách hàng, cho thấy sự ảnh hưởng đến khách hàng".

MMPA cho biết một tác nhân đe dọa đang quét các máy chủ Minecraft trên internet bị ảnh hưởng bởi lỗ hổng để tiến hành các cuộc tấn công, vì vậy việc khắc phục mọi mod dễ bị tấn công được cài đặt trên máy chủ là điều cần thiết.

Để bảo vệ các dịch vụ và thiết bị của bạn khỏi BletingPipe, hãy tải xuống bản phát hành mới nhất của các bản mod bị ảnh hưởng từ các kênh phát hành chính thức.

Nếu bản mod bạn đang sử dụng chưa khắc phục lỗ hổng thông qua bản cập nhật bảo mật, bạn nên chuyển sang bản fork đã áp dụng các bản sửa lỗi.

Nhóm MMPA cũng đã phát hành bản mod 'PipeBlocker' để bảo vệ cả máy chủ và máy khách forge bằng cách lọc lưu lượng mạng 'ObjectInputSteam'.

Vì payload (tệp/phần mềm độc hại) mà những kẻ tấn công tải/cài đặt vào các hệ thống bị xâm nhập vẫn chưa được xác định, nên quản trị viên máy chủ nên kiểm tra tất cả các mod để tìm các tệp đáng ngờ bằng công cụ quét 'jSus' hoặc 'jNeedle'.

Người chơi sử dụng các bản mod chứa lỗ hổng nên thực hiện kiểm tra, quét tương tự trên thư mục .minecraft hoặc thư mục mặc định mà chương trình khởi chạy bản mod để tìm kiếm các tệp hoặc phần mềm độc hại bất thường.

Người dùng máy tính để bàn cũng nên sử dụng các công cụ quét chống vi-rút để kiểm tra các tệp thực thi độc hại được cài đặt trên hệ thống.

Danh sách các bản mod Minecraft bị ảnh hưởng bởi lỗ hổng BletingPipe:

- EnderCore

- LogisticsPipes, các phiên bản cũ hơn 0.10.0.71

- BDLib 1.7 từ phiên bản 1.12 trở về trước

- Smart Moving 1.12

- Brazier

- DankNull

- Gadomancy

- Advent of Ascension (Nevermine) phiên bản 1.12.2

- Astral Sorcery từ phiên bản 1.9.1 trở về trước

- EnderCore các phiên bản dưới 1.12.2-0.5.77

- JourneyMap các phiên bản dưới 1.16.5-5.7.2

- Minecraft Comes Alive (MCA) các phiên bản từ 1.5.2 đến 1.6.4

- RebornCore các phiên bản dưới 4.7.3

- Thaumic Tinkerer các phiên bản dưới 2.3-138

Tuy nhiên, danh sách trên vẫn chưa đầy đủ và BletingPipe có khả năng ảnh hưởng đến nhiều mod khác.

Nguồn: bleepingcomputer.com.