Minecraft: Virtuelle Computer reißen Sicherheitslücken auf

Kritische Sicherheitslücken reißen sogenannte Mods für Minecraft auf, die Serverbetreiber installieren und deren Funktionen den Spielern bereitstellen können. Es handelt sich um Mods, die virtuelle Computer oder Roboter ergänzen. Die Computer sind sogar wirklich programmierbar.

IT-Sicherheitsforscher haben jetzt Lücken im Mod "OpenComputers" sowie "CC: Tweaked" gefunden. Aufgrund fehlender Filterung sind durch sie Metadaten-Dienst-APIs zugreifbar, die Cloud-Dienste wie Amazons AWS, Googles Cloud Platform oder etwa Microsofts Azure bereitstellen. Dadurch können bösartige Akteure sensible Informationen ausspähen und diese nutzen, um etwa ihre Rechte innerhalb des Hosting-Provider-Umfelds auszuweiten. In OpenComputers fehlt zudem eine Filterung von IPv6-Adressen, was die Ausbreitung im lokalen IPv6-Netz vereinfache.

Minecraft-Mods: Kritische Lücken in virtueller Hardware

Die Sicherheitslücken haben sogar CVE-Einträge erhalten. CC: Tweaked erhält den Eintrag CVE-2023-37262 mit einem CVSS-Wert von 9.8, was ein kritisches Risiko darstellt. Die Lücke in OpenComputers beschreibt CVE-2023-37261 und stuft den CVSS-Wert mit 9.6 ein, was ebenfalls kritisch ist.

Fehlerbereinigte Versionen von CC: Tweaked stehen bereit, OpenComputers hingegen muss von Administratoren manuell gesichert werden. In der OpenComputers-Sicherheitsmeldung findet sich dazu am Ende eine kurze Anleitung unter dem Punkt "Mitigations", die Admins zügig umsetzen sollten. Für CC: Tweaked enthalten laut Sicherheitswarnung die Versionen 1.20.1-1.106.0, 1.19.4-1.106.0, 1.19.2-1.101.3, 1.18.2-1.101.3 und 1.16.5-1.101.3 oder neuere eine Fehlerkorrektur. Minecraft-Administratoren sollten sie zügig installieren.

Minecraft-Modifikationspakete sorgen gelegentlich für Ärger. Vor einem Monat sind Mods aufgetaucht, die mit der Fractureiser-Malware infiziert waren.

(dmk)