Ang administrador sa Jabber server nga jabber.ru (xmpp.ru) miila sa usa ka pag-atake sa pag-decrypt sa trapiko sa user (MITM), nga gihimo sulod sa 90 ka adlaw ngadto sa 6 ka bulan sa mga network sa German nga hosting providers nga si Hetzner ug Linode, nga nag-host sa project server ug auxiliary VPS. environment. Ang pag-atake giorganisar pinaagi sa pag-redirect sa trapiko ngadto sa transit node nga mopuli sa TLS certificate para sa XMPP nga mga koneksyon nga na-encrypt gamit ang STARTTLS extension.
Ang pag-atake namatikdan tungod sa usa ka sayup sa mga nag-organisar niini, nga walaβy oras sa pagbag-o sa sertipiko sa TLS nga gigamit alang sa spoofing. Niadtong Oktubre 16, ang tagdumala sa jabber.ru, sa dihang misulay sa pagkonektar sa serbisyo, nakadawat og mensahe sa sayop tungod sa pag-expire sa sertipiko, apan ang sertipiko nga nahimutang sa server wala ma-expire. Ingon usa ka sangputanan, nahimo nga ang sertipiko nga nadawat sa kliyente lahi sa sertipiko nga gipadala sa server. Ang una nga peke nga sertipiko sa TLS nakuha kaniadtong Abril 18, 2023 pinaagi sa serbisyo sa Let's Encrypt, diin ang tig-atake, nga nakapugong sa trapiko, nakahimo sa pagkumpirma sa pag-access sa mga site nga jabber.ru ug xmpp.ru.
Sa sinugdan, adunay usa ka pangagpas nga ang server sa proyekto nakompromiso ug usa ka pagpuli ang gihimo sa kilid niini. Apan ang pag-audit wala magpadayag bisan unsang mga timailhan sa pag-hack. Sa parehas nga oras, sa log sa server, usa ka mubo nga panahon nga pagpalong ug pag-on sa interface sa network (NIC Link ang Down / NIC Link is Up) namatikdan, nga gihimo kaniadtong Hulyo 18 sa 12:58 ug mahimo nagpakita sa mga manipulasyon sa koneksyon sa server ngadto sa switch. Mamatikdan nga duha ka peke nga mga sertipiko sa TLS ang nahimo pipila ka minuto sa sayo pa - kaniadtong Hulyo 18 sa 12:49 ug 12:38.
Dugang pa, ang pag-ilis gihimo dili lamang sa network sa Hetzner provider, nga nag-host sa nag-unang server, apan usab sa network sa Linode provider, nga nag-host sa VPS nga mga palibot nga adunay mga auxiliary proxy nga nag-redirect sa trapiko gikan sa ubang mga adres. Sa dili direkta, nakit-an nga ang trapiko sa network port 5222 (XMPP STARTTLS) sa mga network sa duha nga mga provider gi-redirect pinaagi sa usa ka dugang nga host, nga naghatag hinungdan sa pagtuo nga ang pag-atake gihimo sa usa ka tawo nga adunay access sa imprastraktura sa mga provider.
Sa teoriya, ang pag-ilis mahimo unta nga gihimo gikan sa Abril 18 (ang petsa sa pagmugna sa unang peke nga sertipiko alang sa jabber.ru), apan nakumpirma nga mga kaso sa pag-ilis sa sertipiko natala lamang gikan sa Hulyo 21 ngadto sa Oktubre 19, sa tanan niini nga panahon encrypted data exchange sa jabber.ru ug xmpp.ru maisip nga nakompromiso . Ang pag-ilis mihunong pagkahuman nagsugod ang imbestigasyon, gihimo ang mga pagsulay ug gipadala ang usa ka hangyo sa serbisyo sa suporta sa mga provider nga Hetzner ug Linode kaniadtong Oktubre 18. Sa samang higayon, ang usa ka dugang nga transisyon sa dihang ang mga routing packet nga gipadala ngadto sa port 5222 sa usa sa mga server sa Linode naobserbahan gihapon karon, apan ang sertipiko wala na gipulihan.
Gituohan nga ang pag-atake mahimo unta nga gihimo uban ang kahibalo sa mga providers sa hangyo sa mga ahensya nga nagpatuman sa balaod, isip resulta sa pag-hack sa mga imprastraktura sa duha ka providers, o sa usa ka empleyado nga adunay access sa duha ka providers. Pinaagi sa pag-intercept ug pag-usab sa trapiko sa XMPP, ang tig-atake makaangkon og access sa tanang datos nga may kalabutan sa account, sama sa kasaysayan sa pagmemensahe nga gitipigan sa server, ug mahimo usab nga magpadala og mga mensahe alang sa uban ug makahimo og mga kausaban sa mga mensahe sa ubang tawo. Ang mga mensahe nga gipadala gamit ang end-to-end encryption (OMEMO, OTR o PGP) mahimong isipon nga dili makompromiso kung ang mga yawe sa pag-encrypt gipamatud-an sa mga tiggamit sa duha ka kilid sa koneksyon. Gitambagan ang mga tiggamit sa Jabber.ru nga usbon ang ilang mga password sa pag-access ug susihon ang mga yawe sa OMEMO ug PGP sa ilang mga pagtipig sa PEP alang sa posible nga pag-ilis.
Source: opennet.ru