摘要
此漏洞已被多次利用,许多 1.7.10/1.12.2 的整合包都存在漏洞,但如果安装了受影响的 mod,任何其他版本的 Minecraft 都可能受到影响。
该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。
文章已列出存在漏洞的模组,服务器管理员应该立即更新或删除这些模组,联网登录游戏服务器的玩家也应该检查可疑文件,进行防病毒扫描。
原文地址:https://blog.mmpa.info/posts/bleeding-pipe/
Forge 服务端 RCE 漏洞(Bleeding Pipe)在野利用风险警告
我们建议您(尤其是服务器所有者)认真对待此漏洞。
此漏洞已被多次利用,许多 1.7.10/1.12.2 模组包都容易受到攻击,但是如果安装了受影响的模组,任何其他版本的 Minecraft 都可能受到影响。
该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。
介绍
Bleeding Pipe 是一个已发现在野使用的漏洞,允许在 Minecraft Forge 1.7.10 / 1.12.2 客户端和服务端上进行完全的远程代码执行(其他版本也可能受到影响)。已经在毫无防备的服务器上观察到 Bleeding Pipe 漏洞的使用。
这是在使用不安全的反序列化代码的 mod 中存在的漏洞,而不是 Forge 本身。
已知受影响的 Mod
已知受影响的模组包括但不限于:
EnderCore (EnderIO 的前置)。原版和 GT New Horizons (下称 GTNH)分支已经修复,但 EnderIO 的低版本尚未更新。LogisticsPipes。自 2023 年 7 月 25 日起,GTNH 分支修复了此漏洞,并且原始版本 0.10.0.71 修复了此漏洞。MC 1.12 版本不受影响。如果您曾在安装有易受攻击的模组版本的服务器上玩过,则应当假设您的设备已被感染。BDLib 的 1.7-1.12 版本。GTNH 分支已经修复了这个问题,但原版的开发人员目前不打算修复它。如果您曾在安装有非 GTHN 分支的模组版本的服务器上玩过,则应当假设您的设备已被感染。Smart Moving 1.12BrazierDankNullGadomancy
发现过程
最初,这个漏洞在 Java 社区中是众所周知的,并且之前已经在其他 mod 中修复过,例如 RebornCore。此漏洞通常被称为反序列化攻击/工具链,并且有许多被利用的案例,但在 Minecraft 社区中较为少见。
在这个特定的模组列表中,此漏洞的第一个警告可以追溯到 2022 年 3 月,当时有关这个漏洞的 issue 发布在 BDLib 的 GitHub 上,并告知 ObjectInputStream 中存在漏洞。GTNH 团队迅速将修复合并到他们的分支中。
在此之后,这个 issue 没有人回复,直到 MineYourMind 在其 Enigmatica 2 Expert 服务器上发布了有关漏洞的信息。
2023 年 7 月 9 日,有人在 Forge 论坛发布了一篇关于服务器上利用 RCE 漏洞的帖子,该帖子阐述了某些模组设法破坏服务端并向客户端发送异常数据包,表明漏洞会通过服务端向客户端传播。涉事模组有 3 个:EnderCore、BDLib 和 LogisticsPipes。然而,这篇文章并没有引起太大的重视,大多数人都没有关注。
2023 年 7 月 24 日,MineYourMind 突然宣布他们已经“修复”了该错误,并将与开发人员合作制作漏洞补丁。没有发布其他信息。
在这一系列公告之后,该漏洞在 GTNH 的其余分支中迅速修复,但漏洞仍然存在于大多数安装了这些模组的服务器以及这些模组的原始版本中。
大规模滥用
我们还发现有黑客正在扫描有 IPv4 公网地址的所有 Minecraft 服务器,以大规模利用易受攻击的服务器,然后将可能的恶意程序部署到所有易受攻击的服务器上。
我们不知道黑客将如何利用漏洞,或者漏洞是否被用来攻击其他客户端,尽管这种可能性始终存在。
我该怎么办?
由于我们不知道黑客会如何利用易受攻击的服务器,因此没有具体的方法来检测并防御这种攻击。下方列出了一些通用的检测方法。
服务器管理员
作为服务器管理员,我们建议您检查服务端中的可疑文件,并更新/删除受此漏洞影响的模组。
针对服务端的恶意程序一旦入侵成功,往往会感染服务端乃至整个系统上的其他模组,因此我们建议在所有已安装的模组服务端的服务器上运行 jSus 或 jNeedle 等专用防病毒程序进行检查。
玩家
作为玩家,如果您不游玩服务器,则不会受到影响。
我们建议检查可疑文件,运行防病毒软件进行扫描,并使用 jSus 或 jNeedle 等专用程序对 .minecraft 目录进行扫描。请注意,如果使用第三方启动器(如 HMCL),模组文件可能会存储在不同的目录中。通常可以在 versions 目录下对应的版本找到模组文件。
补救措施
如果您发现您的服务端或客户端已装有 EnderIO 或 LogisticsPipes 模组,请更新到 CurseForge 上的最新版本。
如果您发现您的服务端或客户端已装有 BDLib 模组,请尽可能迁移到 GTNH 分支。
为了缓解所有模组的普遍影响,您可以在 Forge 服务端和客户端上安装我们开发的修复模组 PipeBlocker。我们还建议将 LogisticsPipes 和所有其他模组更新到最新版本。请注意,预制作好的客户端/服务端整合包可能会因更新模组而导致游玩时不稳定或无法正常游玩。
如果您是模组开发人员并正在使用 ObjectInputStream,除非您知道自己在做什么,否则建议您立刻切换到其他更安全的序列化库或自己制作一个。
技术细节
该漏洞是使用 ObjectInputStream 进行反序列化的已知问题。受影响的模组使用 OIS 作为网络代码,这允许发送带有恶意序列化的数据包。此漏洞允许在服务器上执行任意代码,然后可以利用这些服务端对所有客户端执行相同的操作,从而反向感染所有客户端。
如果您有任何关于 BleedingPipe 的信息,您可以加入 MMPA 的 Discord 服务器,或通过邮件地址 [email protected] 匿名联系我们。
此漏洞已被多次利用,许多 1.7.10/1.12.2 的整合包都存在漏洞,但如果安装了受影响的 mod,任何其他版本的 Minecraft 都可能受到影响。
该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。
文章已列出存在漏洞的模组,服务器管理员应该立即更新或删除这些模组,联网登录游戏服务器的玩家也应该检查可疑文件,进行防病毒扫描。
原文地址:https://blog.mmpa.info/posts/bleeding-pipe/
Forge 服务端 RCE 漏洞(Bleeding Pipe)在野利用风险警告
我们建议您(尤其是服务器所有者)认真对待此漏洞。
此漏洞已被多次利用,许多 1.7.10/1.12.2 模组包都容易受到攻击,但是如果安装了受影响的模组,任何其他版本的 Minecraft 都可能受到影响。
该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。
介绍
Bleeding Pipe 是一个已发现在野使用的漏洞,允许在 Minecraft Forge 1.7.10 / 1.12.2 客户端和服务端上进行完全的远程代码执行(其他版本也可能受到影响)。已经在毫无防备的服务器上观察到 Bleeding Pipe 漏洞的使用。
这是在使用不安全的反序列化代码的 mod 中存在的漏洞,而不是 Forge 本身。
已知受影响的 Mod
已知受影响的模组包括但不限于:
EnderCore (EnderIO 的前置)。原版和 GT New Horizons (下称 GTNH)分支已经修复,但 EnderIO 的低版本尚未更新。LogisticsPipes。自 2023 年 7 月 25 日起,GTNH 分支修复了此漏洞,并且原始版本 0.10.0.71 修复了此漏洞。MC 1.12 版本不受影响。如果您曾在安装有易受攻击的模组版本的服务器上玩过,则应当假设您的设备已被感染。BDLib 的 1.7-1.12 版本。GTNH 分支已经修复了这个问题,但原版的开发人员目前不打算修复它。如果您曾在安装有非 GTHN 分支的模组版本的服务器上玩过,则应当假设您的设备已被感染。Smart Moving 1.12BrazierDankNullGadomancy
发现过程
最初,这个漏洞在 Java 社区中是众所周知的,并且之前已经在其他 mod 中修复过,例如 RebornCore。此漏洞通常被称为反序列化攻击/工具链,并且有许多被利用的案例,但在 Minecraft 社区中较为少见。
在这个特定的模组列表中,此漏洞的第一个警告可以追溯到 2022 年 3 月,当时有关这个漏洞的 issue 发布在 BDLib 的 GitHub 上,并告知 ObjectInputStream 中存在漏洞。GTNH 团队迅速将修复合并到他们的分支中。
在此之后,这个 issue 没有人回复,直到 MineYourMind 在其 Enigmatica 2 Expert 服务器上发布了有关漏洞的信息。
2023 年 7 月 9 日,有人在 Forge 论坛发布了一篇关于服务器上利用 RCE 漏洞的帖子,该帖子阐述了某些模组设法破坏服务端并向客户端发送异常数据包,表明漏洞会通过服务端向客户端传播。涉事模组有 3 个:EnderCore、BDLib 和 LogisticsPipes。然而,这篇文章并没有引起太大的重视,大多数人都没有关注。
2023 年 7 月 24 日,MineYourMind 突然宣布他们已经“修复”了该错误,并将与开发人员合作制作漏洞补丁。没有发布其他信息。
在这一系列公告之后,该漏洞在 GTNH 的其余分支中迅速修复,但漏洞仍然存在于大多数安装了这些模组的服务器以及这些模组的原始版本中。
大规模滥用
我们还发现有黑客正在扫描有 IPv4 公网地址的所有 Minecraft 服务器,以大规模利用易受攻击的服务器,然后将可能的恶意程序部署到所有易受攻击的服务器上。
我们不知道黑客将如何利用漏洞,或者漏洞是否被用来攻击其他客户端,尽管这种可能性始终存在。
我该怎么办?
由于我们不知道黑客会如何利用易受攻击的服务器,因此没有具体的方法来检测并防御这种攻击。下方列出了一些通用的检测方法。
服务器管理员
作为服务器管理员,我们建议您检查服务端中的可疑文件,并更新/删除受此漏洞影响的模组。
针对服务端的恶意程序一旦入侵成功,往往会感染服务端乃至整个系统上的其他模组,因此我们建议在所有已安装的模组服务端的服务器上运行 jSus 或 jNeedle 等专用防病毒程序进行检查。
玩家
作为玩家,如果您不游玩服务器,则不会受到影响。
我们建议检查可疑文件,运行防病毒软件进行扫描,并使用 jSus 或 jNeedle 等专用程序对 .minecraft 目录进行扫描。请注意,如果使用第三方启动器(如 HMCL),模组文件可能会存储在不同的目录中。通常可以在 versions 目录下对应的版本找到模组文件。
补救措施
如果您发现您的服务端或客户端已装有 EnderIO 或 LogisticsPipes 模组,请更新到 CurseForge 上的最新版本。
如果您发现您的服务端或客户端已装有 BDLib 模组,请尽可能迁移到 GTNH 分支。
为了缓解所有模组的普遍影响,您可以在 Forge 服务端和客户端上安装我们开发的修复模组 PipeBlocker。我们还建议将 LogisticsPipes 和所有其他模组更新到最新版本。请注意,预制作好的客户端/服务端整合包可能会因更新模组而导致游玩时不稳定或无法正常游玩。
如果您是模组开发人员并正在使用 ObjectInputStream,除非您知道自己在做什么,否则建议您立刻切换到其他更安全的序列化库或自己制作一个。
技术细节
该漏洞是使用 ObjectInputStream 进行反序列化的已知问题。受影响的模组使用 OIS 作为网络代码,这允许发送带有恶意序列化的数据包。此漏洞允许在服务器上执行任意代码,然后可以利用这些服务端对所有客户端执行相同的操作,从而反向感染所有客户端。
如果您有任何关于 BleedingPipe 的信息,您可以加入 MMPA 的 Discord 服务器,或通过邮件地址 [email protected] 匿名联系我们。