Instalki.pl » Aktualności » Bezpieczeństwo » Wpisujesz komendę na czacie i przejmujesz serwer Minecraft wraz z graczami
Sobota, 11 Grudzień 2021 10:59, Wpisany przez Maksym Słomski
minecraft przejecie serwera CVE-2021-44228
Problematyczna luka zero-day.

Przedwczoraj wykryto lukę zero-day w popularnej bibliotece log4j2 Java, która powoduje zdalne wykonanie kodu (RCE) poprzez zarejestrowanie określonego ciągu znaków. Biorąc pod uwagę, jak wszechobecna jest ta biblioteka, wpływ exploita (pełna kontrola serwera) i jak łatwo jest ją wykorzystać, wpływ tej luki jest dość poważny. Zagrożone są iCloud, Amazon, Twitter oraz atakowane już serwery Minecraft. Wbrew wcześniejszym doniesieniom, Steam jest bezpieczny.

Na czym polega problem?


Exploit CVE-2021-44228 występujący w wersjach log4j 2.0-2.14.1 jest niezmiernie prosty do wykorzystania. Wystarczy, że serwer zaloguje treść przesyłaną przez atakujące w dowolny sposób do aplikacji, na przykład jako wartość zmiennej GET lub POST. Skuteczne wykorzystanie podatności pozwala wykonać kod po stronie serwerowej. Załatano ją w teorii 5 dni temu, ale eksperci ds. cyberbezpieczeństwa informują, że luka jest już wykorzystywana.

Jak uniknąć ataku?


Należy aktualizować Apache Log4j do wersji 2.125. Istnieje alternatywa. Można uruchomić serwer z wartością parametru log4j2.formatMsgNoLookups ustawioną na true albo wykonać aktualizację do log4j-2.15.0-rc1 lub nowszej wersji.  

Jeśli używasz serwera wykorzystującego Apache, takiego jak własny serwer Minecraft Java, powinieneś dokonać aktualizacji do nowszej wersji lub załatać starszą wersję, zgodnie z metodą przytoczoną powyżej. W innym razie serwer można przejąć wpisując prostą komendę na czasie.

Ten exploit ma ogromne znaczenie w Minecraft Java Edition. Każdy może wysłać wiadomość na czacie, która wpłynie na graczy i serwer, ponieważ każda wiadomość na czacie jest logowana. Jest to o tyle istotne, że wielu graczy korzysta ze zmodyfikowanych klientów, którzy nie otrzymują automatycznych łatek od Mojang. I tak, Mojang wydał już łatkę zabezpieczającą klienta gry po stronie użytkownika.


Źródło: lunasec.io