Posté le août 1, 2023 à 9:02
DES CHERCHEURS DÉCOUVRENT LA FAILLE BLEEDINGPIPE EXPOSANT LES MODS MINECRAFT À DES EXPLOITS
Certains mods Minecraft sont vulnérables à un bogue qui nécessite l’utilisation d’outils antivirus. Selon un rapport de la communauté de sécurité de MMPA, des acteurs malveillants exploitent la vulnérabilité BleedingPipe dans le framework Forge. Ce framework est à l’origine d’un grand nombre de mods.
Des mods Minecraft permettent à des hackers d’exploiter la faille BleedingPipe
La vulnérabilité exploitée par ces acteurs de menaces comprend des versions d’Astra Sorcery, d’EnderCore et de Gadomancy. L’un des mods de ce jeu fonctionne sous Forge 1.7.10/1.12.2.
Les intrus à l’origine de ce piratage ont pu prendre le contrôle à distance des deux serveurs et des appareils des joueurs. Dans un cas, les auteurs de la menace ont déployé une nouvelle variante d’exploit pour accéder à un serveur Minecraft et voler les informations d’identification des interlocuteurs Discord et les cookies de session Steam.
Le rapport indique que la campagne de piratage est un exploit de désérialisation d’une chaîne de gadgets. Il y avait un large éventail de cas exploités, mais aucun rapporté par les hackers n’a été d’un volume massif au sein de la communauté Minecraft.
« Les premiers indices de cet exploit dans cette liste spécifique de mods remontent à mars 2022, lorsque ce problème a été posté sur le GitHub de BDLib, faisant allusion à une vulnérabilité dans ObjectInputStream. L’équipe GTNH a rapidement intégré un correctif dans son fork », indique le rapport.
Après que le hacker a obtenu un premier accès à l’appareil ciblé, le problème a progressé pendant un certain temps jusqu’à ce que MineYourMind révèle une faille au sein du serveur Enigmatica 2 Expert. Le rapport indique que le 9 juillet 2023, un message sur le forum Forge a utilisé un RCE qui fonctionnait sur un serveur et l’a compromis pour envoyer les données Discord des clients.
Le problème a été confirmé par une mise à jour du 24 juillet 2023. La société a annoncé qu’elle avait publié un correctif et qu’elle travaillait également avec les développeurs pour installer ces mises à jour.
Les attaques sur les mods Minecraft imputées à la faille BleedingPipe
Selon un rapport de Bleeping Computer, la faille BleedingPipe repose sur la désérialisation imprécise d’une classe dans le code Java qui alimente les mods. En fonction de ces mods, les utilisateurs devront transférer le trafic réseau spécial vers un serveur leur permettant de prendre le contrôle.
Les premières preuves de ces attaques utilisant la faille BleedingPipe ont été constatées en mars 2022. La faille a été rapidement corrigée par les moddeurs. Toutefois, les chercheurs de MMPA ont déclaré avoir compris que la majorité des serveurs utilisant des mods n’avaient pas encore été mis à jour.
La charge utile que ces hackers ont lancée au sein du système compromis n’a pas encore été détectée. Il est conseillé aux administrateurs de serveurs de surveiller tous les mods et de noter tout ajout de fichier suspect à l’aide des scanners jNeedle et jSus.
Les joueurs qui utilisent les mods sont vulnérables et il leur est conseillé d’effectuer des analyses similaires dans le répertoire .minecraft ou dans le répertoire par défaut. Ceux qui utilisent des appareils de bureau sont invités à effectuer une analyse antivirus et à surveiller tout exécutable malveillant disponible dans le système.
Un hacker qui souhaite neutraliser ces mods, en général, doit installer le PipeBlocker sur les clients et les serveurs de Forge. Les utilisateurs doivent également mettre à jour LogisticsPipes et les autres mods vers les dernières versions. Les modpacks préconçus risquent d’être instables et de tomber en panne après la mise à jour de tous les mods.
Microsoft, la société mère de Mojang, n’est pas à l’origine de Forge. Le géant de la technologie ne peut donc pas arrêter ou limiter les dégâts causés par cette campagne de piratage. Les utilisateurs ne seront pas affectés s’ils stockent Minecraft ou s’ils s’en tiennent aux sessions en mode solo. La campagne de piratage n’a donc pas touché tous les joueurs de Minecraft.
La portée de cette faille de sécurité n’a pas encore été déterminée. Actuellement, 46 mods sont connus comme étant victimes de la faille BleedingPipe. Il est possible que d’autres mods soient vulnérables aux piratages, ce qui est une source d’inquiétude pour les utilisateurs concernés.
Les utilisateurs doivent lancer une analyse de leur système, notamment du dossier Minecraft, pour lancer une campagne de recherche de logiciels malveillants. Plusieurs opérateurs de serveurs sont invités à mettre à jour leurs mods et à s’assurer qu’ils n’ont pas été entièrement déployés. Le mod PipeBlocker jouera également un rôle essentiel dans la protection des personnes affectées par la faille. Toutefois, les packs de mods pourraient être publiés si les mods ne sont pas mis à jour.