اكتشف مسؤول خادم Jabber jabber.ru (xmpp.ru) هجومًا لفك تشفير حركة مرور المستخدم (MITM)، تم تنفيذه على مدار فترة تتراوح من 90 يومًا إلى 6 أشهر في شبكات مقدمي الاستضافة الألمان Hetzner وLinode، اللذين يستضيفان خادم Jabber. خادم المشروع وبيئة VPS المساعدة. يتم تنظيم الهجوم عن طريق إعادة توجيه حركة المرور إلى عقدة النقل التي تحل محل شهادة TLS لاتصالات XMPP المشفرة باستخدام ملحق STARTTLS.
تمت ملاحظة الهجوم بسبب خطأ من قبل منظميه، الذين لم يكن لديهم الوقت لتجديد شهادة TLS المستخدمة في الانتحال. في 16 أكتوبر، تلقى مسؤول jabber.ru، عند محاولة الاتصال بالخدمة، رسالة خطأ بسبب انتهاء صلاحية الشهادة، ولكن الشهادة الموجودة على الخادم لم تنته صلاحيتها. ونتيجة لذلك، تبين أن الشهادة التي حصل عليها العميل كانت مختلفة عن الشهادة التي أرسلها الخادم. تم الحصول على أول شهادة TLS مزيفة في 18 أبريل 2023 من خلال خدمة Let's Encrypt، حيث تمكن المهاجم، بفضل قدرته على اعتراض حركة المرور، من تأكيد الوصول إلى موقعي jabber.ru وxmpp.ru.
في البداية، كان هناك افتراض بأن خادم المشروع قد تم اختراقه وأن الاستبدال يجري من جانبه. لكن التدقيق لم يكشف عن أي آثار للقرصنة. في الوقت نفسه، في السجل الموجود على الخادم، تمت ملاحظة إيقاف تشغيل واجهة الشبكة وتشغيلها على المدى القصير (ارتباط NIC معطل/ارتباط NIC لأعلى)، والذي تم إجراؤه في 18 يوليو الساعة 12:58 ويمكن أن يكون تشير إلى عمليات التلاعب باتصال الخادم بالمحول. من الجدير بالذكر أنه تم إنشاء شهادتي TLS مزيفتين قبل بضع دقائق - في 18 يوليو الساعة 12:49 و12:38.
بالإضافة إلى ذلك، تم إجراء الاستبدال ليس فقط في شبكة موفر Hetzner، الذي يستضيف الخادم الرئيسي، ولكن أيضًا في شبكة موفر Linode، الذي استضاف بيئات VPS مع وكلاء مساعدين يعيدون توجيه حركة المرور من عناوين أخرى. وبشكل غير مباشر، تبين أن حركة المرور إلى منفذ الشبكة 5222 (XMPP STARTTLS) في شبكات كلا المزودين تمت إعادة توجيهها من خلال مضيف إضافي، مما أعطى سببًا للاعتقاد بأن الهجوم تم تنفيذه من قبل شخص لديه حق الوصول إلى البنية التحتية لمقدمي الخدمة.
من الناحية النظرية، كان من الممكن إجراء الاستبدال في الفترة من 18 أبريل (تاريخ إنشاء أول شهادة مزيفة لـ jabber.ru)، ولكن تم تسجيل حالات استبدال الشهادة المؤكدة فقط في الفترة من 21 يوليو إلى 19 أكتوبر، وكل هذا الوقت تم تبادل البيانات المشفرة مع jabber.ru وxmpp.ru يمكن اعتبارهما معرضين للخطر. توقف الاستبدال بعد بدء التحقيق، وتم إجراء الاختبارات وإرسال طلب إلى خدمة الدعم لمقدمي الخدمة Hetzner وLinode في 18 أكتوبر. في الوقت نفسه، لا يزال يتم ملاحظة انتقال إضافي عند توجيه الحزم المرسلة إلى المنفذ 5222 لأحد الخوادم في Linode، ولكن لم يعد يتم استبدال الشهادة.
من المفترض أن الهجوم قد تم تنفيذه بمعرفة مقدمي الخدمة بناءً على طلب وكالات إنفاذ القانون، نتيجة اختراق البنية التحتية لكلا المزودين، أو من قبل موظف لديه إمكانية الوصول إلى كلا المزودين. من خلال القدرة على اعتراض حركة مرور XMPP وتعديلها، يمكن للمهاجم الوصول إلى جميع البيانات المتعلقة بالحساب، مثل سجل الرسائل المخزن على الخادم، ويمكنه أيضًا إرسال رسائل نيابة عن الآخرين وإجراء تغييرات على رسائل الأشخاص الآخرين. يمكن اعتبار الرسائل المرسلة باستخدام التشفير الشامل (OMEMO أو OTR أو PGP) غير مخترقة إذا تم التحقق من مفاتيح التشفير من قبل المستخدمين على جانبي الاتصال. يُنصح مستخدمو Jabber.ru بتغيير كلمات المرور الخاصة بهم والتحقق من مفاتيح OMEMO وPGP في مخازن PEP الخاصة بهم بحثًا عن بديل محتمل.
المصدر: opennet.ru