Minecraft oyuncuları ve sunucu operatörleri, belirli modlarda ve sonraki mod paketlerinde, istismar edildiğinde uzaktan kod çalıştırmaya izin veren bir güvenlik açığının keşfedilmesinin ardından yeni güvenlik riskleriyle karşı karşıya. Yamalar yayınlanmaya ve güvenlik açığı yönetimi aktif olarak yapılmaya devam ediyor, ancak oyuncular modları güncel değilse hâlâ risk altında olabilirler. Temmuz ayının başlarında, Minecraft Forge forumlarında Minecraft 1.12.2 Enigmatica 2 sunucusunda ‘zero-day’ açığı gibi görünen bir gönderi paylaşılmıştı. Açık, sunucuya bağlı istemci bilgisayarlarda kod çalıştırarak saldırganın tarayıcı oturumlarını, Discord belirteçlerini ve Steam oturumlarını çalmasına olanak tanıyordu. Bu istismar bir soruşturmaya yol açtı ve MMPA’nın bu saldırıyı “BleedingPipe” olarak adlandıran bir blog yazısıyla sonuçlandı.
MMPA bu saldırının, bir hizmetin kullanıcı tarafından kontrol edilebilen bir bayt akışını güvenli olmayan şekilde bir nesneye dönüştürdüğü bir ‘Java deserialization’ saldırısı olduğunu açıkladı. Blog yazısında ayrıca, istismarı tespit etmenin bir yolu olmadığı, ancak kötü bir aktörün savunmasız sunucuları toplu olarak istismar etmek için IPv4 adres alanındaki tüm Minecraft sunucularını taradığının bilindiği belirtiliyor. Bu istismarın ayrıca EnderCore, LogisticsPipes, BDLib’in 1.7-1.12 sürümü, Smart Moving 1.12, Brazier, DankNull ve Gadomancy modlarıyla da bağlantılı olduğu iddia ediliyor. Ancak, bu durum hikayenin sonu değil. GitHub kullanıcısı dogboy21, GitHub’da ‘serializationisbad’ başlıklı bir proje yayınladı ve burada istismarın vahşi doğada gerçek kullanımının düşük olduğunu açıkladı. Bununla birlikte, yamalanmamış modların bulunduğu bir sunucuda oynayan veya sunucuya sahip olan herkes risk altındadır ve dogboy21 güvenlik açığından etkilenen üç düzine modu (aşağıda) listelemektedir.
- AetherCraft
- Advent of Ascension (Nevermine) (yalnızca Minecraft 1.12.2 sürümlerini etkiler)
- Arrows Plus
- Astral Sorcery (1.9.1 sürümlerini etkiler)
- BdLib (yalnızca Minecraft 1.7.10-1.12.2 sürümlerini etkiler)
- Carbonization CreativeCore (yalnızca Minecraft 1.7.10 sürümlerini etkiler)
- Custom Friends Capes
- CustomOreGen
- DankNull
- Energy Manipulation
- EnderCore (1.7.10-0.2.0.40_beta, 1.10-0.4.0.36-beta, 1.10.2-0.4.1.67-beta ve 1.12.2-0.5.77 sürümlerinde düzeltildi.)
- EndermanEvolution
- Extrafirma
- Gadomancy
- Giacomo’s Bookshelf
- Immersive Armors (Minecraft 1.18.2, 1.19.2-1.19.4, 1.20 için 1.5.6 sürümünde düzeltildi, 1.16.5, 1.17.1, 1.18.1, 1.19.0, 1.19.1 sürümleri etkilenmeye devam ediyor.)
- Immersive Aircraft
- Immersive Paintings
- JourneyMap (1.16.5-5.7.1’de ortaya çıkan ve 1.16.5-5.7.2’de düzeltilen sorun. Diğer sürümler etkilenmedi)
- LanteaCraft / SGCraft LogisticsPipes (Yalnızca Minecraft 1.4.7-1.7.10 sürümlerini etkiler. MC 1.7.10 için 0.10.0.71 sürümünde düzeltildi.)
- Minecraft Comes Alive (MCA) (yalnızca Minecraft 1.5.2-1.6.4 sürümlerini etkiler)
- MattDahEpic Core (MDECore) (yalnızca Minecraft 1.8.8-1.12.2 sürümlerini etkiler)
- mxTune (Yalnızca Minecraft 1.12-1.16.5 sürümlerini etkiler)
- p455w0rd’s Things
- Project Blue
- RadixCore
- RebornCore (etkilenen sürümler (3.13.8, 4.7.3 sürümlerini etkiler)
- SimpleAchievements
- SmartMoving
- Strange
- SuperMartijn642’s Config Lib (1.0.9 sürümünde düzeltildi.)
- Thaumic Tinkerer (Minecraft 1.7.2 için 2.3-138 sürümünde düzeltildi, 1.6-1.6.4 sürümleri etkilenmeye devam ediyor.)
- Tough Expansion
- ttCore (yalnızca Minecraft 1.7.10 sürümlerini etkiler)
Dogboy21 ayrıca kendilerinin ve diğer katılımcıların tüm sorunu özel ve sorumlu bir şekilde araştırmaya çalıştıklarını, böylece durumun tamamı hakkında kapsamlı bir yazı ve düzeltme yayınlayabileceğimizi, ancak MMPA adlı bir grubun konuyla ilgili bir blog yazısı yayınladığını ve sorunla ilgili birçok önemli faktörü tamamen kaçırdığını, şu anda milyonlarca modifiye Minecraft kullanıcısını tam anlamıyla riske attıkları için bir açıklama yayınlamak ve sorunu derhal düzeltmeye çalışmak zorunda kaldıklarını açıklıyor. Güvenlik açığının nasıl ortaya çıktığına bakılmaksızın, modlanmış birçok Minecraft oyuncusu için hâlâ önemli bir risk söz konusudur. Bu nedenle, mod yazarlarının modlarını elle ya da dogboy21’in aracıyla yamalamaya çalışmaları gerekiyor ve oyuncular risk altında olabileceklerini düşünüyorlarsa, çevrimdışı olarak istismar edilemeyeceğiniz için belki de sunuculara katılmayı ertelemelidirler. Alternatif olarak, oyuncuları ‘deserialization’ kullanarak istismara karşı koruduğu iddia edilen bir mod var, ancak bunu üstlenirken dikkatli olunması gerekiyor.