ハッカーは BleedingPipe RCE を悪用して Minecraft サーバーとプレイヤーをターゲットにします

ハッカーは、Minecraft MOD の「BleedingPipe」リモートコード実行の脆弱性を積極的に悪用して、サーバーやクライアント上で悪意のあるコマンドを実行し、デバイスを制御できるようにしています。

BleedingPipe は、サーバーとクライアント間でネットワークパケットを交換するための Java の ‘ObjectInputStream’ クラスでの逆シリアル化の誤った使用によって引き起こされる、多くの Minecraft Mod で見つかった脆弱性です。

つまり、攻撃者は特別に作成したネットワークパケットを脆弱な Minecraft Mod サーバーに送信し、サーバーを乗っ取ります。

その後、攻撃者はハッキングされたサーバーを使用して、サーバーに接続するプレイヤーが使用するのと同じ Minecraft MOD の欠陥を悪用し、それらのデバイスにもマルウェアをインストールできるようになります。

Minecraft セキュリティコミュニティ (MMPA) による新しいレポートの中で、研究者らは、この欠陥が、安全でない逆シリアル化コードを使用する 1.7.10/1.12.2 Forge で実行されている多くの Minecraft Mod に影響を与えることを発見しました。

7月に活発に悪用された

BleedingPipe 悪用の最初の兆候は 2022 年 3 月に実際に現れましたが、MOD 開発者によってすぐに修正されました。

しかし、今月初め、Forge フォーラムの投稿は、プレイヤーの Discord および Steam セッション Cookie を盗むために未知のゼロデイ RCE を使用した大規模なアクティブな悪用について警告しました。

「2023 年 7 月 9 日、サーバー上でライブで発生した RCE についてForge フォーラムの投稿が行われ、サーバーを侵害してクライアントの Discord 資格情報を送信し、クライアントへの拡散を示しました」とMMPA の記事は説明しました。

「この問題は、EnderCore、BDLib、LogisticsPipes の 3 つの MOD に特定されました。しかし、この投稿は主流にはならず、ほとんどの人が気づきませんでした。」

MMPA はさらなる調査を行った結果、BleedingPipe の脆弱性が次の Minecraft MOD にも存在することを発見しました。

ただし、上記のリストは完全ではなく、BleedingPipe はさらに多くの MODに影響を与える可能性があることに注意することが重要です。

MMPAによると、攻撃者はこの欠陥の影響を受けるインターネット上のMinecraftサーバーを積極的にスキャンして攻撃を行っているため、サーバーにインストールされている脆弱なMODを修正することが不可欠だという。

サービスとデバイスを BleedingPipe から保護するには、影響を受ける MOD の最新リリースを公式リリースチャネルからダウンロードしてください。

使用している MOD がセキュリティアップデートで脆弱性に対処していない場合は、修正を採用したフォークに移行する必要があります。

MMPA チームは、「ObjectInputSteam」ネットワークトラフィックをフィルタリングすることで Forge サーバーとクライアントの両方を保護する「 PipeBlocker 」MOD もリリースしました。

攻撃者によって侵害されたシステムに投下されたペイロードはまだ不明であるため、サーバー管理者は、「 jSus 」または「 jNeedle 」スキャナを使用して、すべての MOD に疑わしいファイルの追加をチェックすることをお勧めします。

脆弱であることが知られている MOD を使用しているプレイヤーは、 .minecraftディレクトリまたは MOD ランチャーが使用するデフォルトディレクトリに対して同様のスキャンを実行して、異常なファイルやマルウェアがないか確認することをお勧めします。

デスクトップユーザーには、ウイルス対策スキャンを実行して、システムに悪意のある実行可能ファイルがインストールされていないか確認することもお勧めします。