RCE-брешь BleedingPipe используется в атаках на игроков и серверы Minecraft

Екатерина Быстрова 01 Августа 2023 - 09:13

...

RCE-брешь BleedingPipe используется в атаках на игроков и серверы Minecraft

Киберпреступники начали активно эксплуатировать уязвимость BleedingPipe, затрагивающую моды Minecraft и приводящую к удалённому выполнению кода. С помощью этой бреши атакующие запускают вредоносные команды на серверах и клиентах.

BleedingPipe существует из-за некорректного использования десериализации в Java-классе «ObjectInputStream». Проблему нашли во многих Minecraft-модах.

Для эксплуатации злоумышленнику достаточно отправить специально подготовленные сетевые пакеты уязвимым серверам Minecraft, чтобы получить над последними контроль.

После этого атакующие используют эти серверы для эксплуатации той же уязвимости, но уже на компьютерах игроков, подключающихся к скомпрометированным серверам. Именно так киберпреступники устанавливают вредоносную программу на устройства геймеров.

Одно из комьюнити Minecraft — MMPA — опубликовало отчёт, согласно которому BleedingPipe затрагивает многие моды, работающие на Forge 1.7.10/1.12.2, поскольку они используют небезопасный код десериализации.

Впервые о присутствии BleedingPipe сообщество заговорило ещё в марте 2022 года. Тогда разработчики оперативно устранили уязвимость. Однако уже в этом месяце на форуме Forge появилась информация об эксплуатации неизвестной на первый взгляд 0-day.

Согласно статье MMPA, BleedingPipe вновь дала о себе знать, но на этот раз её обнаружили в следующих модах:

EnderCore
LogisticsPipes versions older than 0.10.0.71
BDLib 1.7 through 1.12
Smart Moving 1.12
Brazier
DankNull
Gadomancy
Advent of Ascension (Nevermine) version 1.12.2
Astral Sorcery versions 1.9.1 and older
EnderCore versions below 1.12.2-0.5.77
JourneyMap versions below 1.16.5-5.7.2
Minecraft Comes Alive (MCA) versions 1.5.2 through 1.6.4
RebornCore versions below 4.7.3
Thaumic Tinkerer versions below 2.3-138

В MMPA отметили, что киберпреступники активно сканируют Сеть, пытаясь найти уязвимые серверы Minecraft. Владельцы серверов должны обновить каждый мод, чтобы защитить себя и игроков.

Команда MMPA также выпустила инструмент PipeBlocker, который поможет защитится от эксплуатации BleedingPipe, фильтруя сетевой трафик «ObjectInputSteam».

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 13:51

Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации

Telegram приписал чужую победу: кто на самом деле починил прокси

Давид Осипов из B2B обвинил Telegram в том, что команда мессенджера присвоила себе заслуги за обход блокировок прокси в России. По его версии, критические исправления для FakeTLS первыми нашли и подготовили не разработчики Telegram, а энтузиасты из сообщества Telemt.

Осипов пишет, что официальная команда мессенджера якобы месяцами не трогала проблемный код, хотя разговоры о возможных ограничениях Telegram-прокси в России шли как минимум с начала 2026 года.

Когда в апреле у многих пользователей начали отваливаться соединения, а встроенная маскировка FakeTLS перестала работать как надо, Telegram, по его словам, не предложил быстрого собственного решения, а паузу заполнили участники профильного сообщества.

По версии Осипова, именно энтузиасты занялись разбором TLS-хендшейка, сравнили поведение Telegram с трафиком обычного браузера, нашли подозрительные сигнатуры и подготовили конкретные исправления. После этого изменения оформили в предложения для изменения кода Telegram Desktop, а уже затем часть этих правок попала в официальный клиент.

То, что Telegram Desktop действительно получил свежие обновления в начале апреля, видно по странице релизов на GitHub: там указаны версии 6.7.2 и 6.7.3, выпущенные 3 и 4 апреля. В README проекта Telemt при этом отдельно сказано, что исправленный TLS ClientHello уже доступен в Telegram Desktop начиная с версии 6.7.2, а для Android официальные релизы ещё находятся в процессе внедрения.

Главная претензия Осипова: Telegram в публичной коммуникации выглядит победителем, хотя реальную инженерную работу, по его мнению, сначала проделало сообщество. Особенно его задела формулировка из поста Павла Дурова о том, что Telegram «со своей стороны» продолжит адаптироваться и делать трафик мессенджера более трудным для обнаружения и блокировки. Дуров действительно написал, что команда будет и дальше усложнять детектирование и блокировку трафика Telegram на фоне ограничений в России.

Осипов при этом настаивает: нынешние исправления — это лишь хотфикс, а не полноценное решение. По его словам, даже после патча в реализации FakeTLS остаются другие потенциально заметные сигнатуры, а значит, проблема не сводится к паре строк кода. Иначе говоря, история, по его версии, ещё далеко не закончилась.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!