Minecraft: cos'è il virus BleedingPipe e come proteggersi
31 luglio 2023
1690820353122
Una nuova falla di sicurezza critica potrebbe consentire a soggetti malintenzionati di eseguire codice remoto sui dispositivi di utenti e operatori di server Minecraft. L'attacco di deserializzazione Java, soprannominato "BleedingPipe" da un'organizzazione di utenti chiamata MMPA (Minecraft Malware Prevention Alliance), si rivolge a server o client che hanno una delle tante mod infette installate. Per essere sicuri al 100% di non essere infetti; basta accertarsi di non avere mod installate.
Ci sono molte mod instabili di Minecraft. AetherCraft, Immersive Armors e ttCore sono solo alcune deelle trentadue mod infette, secondo un studente di informatica tedesco che si fa chiamare Dogboy21 su GitHub. Una patch per risolvere il problema è disponibile sulla pagina Github di Dogboy21 e richiede il download di un nuovo file JAR da inserire nella cartella dei mod. Altre mod sono classificate come vulnerabili ; in particolare i modpack delle versioni 1.7.10.
BleedingPipe funziona sfruttando una vulnerabilità nella classe ObjectInputStream di Java. Un hacker può inviare codice dannoso insieme ai dati al server e, quando il server “deserializza” (converte) i dati da binario a oggetto, il codice dannoso viene quindi eseguito lato server. Analogamente all’ultimo esempio, se il server è compromesso, può trasmettere dati binari a un client (un giocatore) il cui PC lo deserializza localmente ed esegue il codice dannoso.
Se un soggetto malintenzionato è in grado di eseguire codice lato server o lato client, le possibilità sono quasi illimitate. Potrebbero trovare un modo per rubare le informazioni utente, o potrebbero prendere il controllo del PC e usarlo per lanciare attacchi Botnet contro altri sistemi.
La MMPA afferma che sono stati scansionati praticamente la maggior parte dei server Minecraft nello spazio di indirizzi IPv4 e potrebbero quindi essere infetti; qualora avessero mod compromesse installate.
BleedingPipe è simile a un altro attacco recentemente segnalato trovato nella libreria di logging Java Log4j, sebbene sembri che non siano identici. Il sito web ufficiale di Microsoft Minecraft.net contiene un avviso sulla vulnerabilità di Log4j e le mitigazioni disponibili.
Come proteggersi da BleedingPipe #
Lato client; consigliamo uno scanner come JSus o jNeedle per controllare la cartella .minecraft e controllare quindi se abbiamo una mod infetta. Qualore il programma dovesse trovarne una o più; occorrerà disinstallarla o scaricare la patch.
Se invece gestiamo un server; è comunque di fondamentale importanza eseguire una scansione tramite JSus o jNeedle su tutte le mod installate.
Ecco quindi un riassunto per punti su come affrontare e/o prevenire BleedingPipe:
- Non utilizziamo mod instabili o non aggiornate.
- Installiamo la patch di Dogboy21 per i mod che sono vulnerabili a BleedingPipe.
- Eseguiamo JSus o jNeedle sulla directory .minecraft per file infetti.
- Se gestiamo un server, eseguiamo JSus o jNeedle su tutte le mod installate.
- Aggiorniamo le versioni precedenti di EnderIO e/o LogisticsPipes.
- Utilizziamo il fork “GT New Horizons” di BDLib se lo si utilizza già.
- Installiamo la mod di sicurezza PipeBlocker.
BleedingPipe è una grave vulnerabilità di sicurezza che può avere gravi conseguenze se viene sfruttata. È importante seguire ogni misura preventiva per evitare ogni tipo di problema.