L'amministratore di u servitore Jabber jabber.ru (xmpp.ru) hà identificatu un attaccu per decrypt u trafficu di l'utilizatori (MITM), realizatu annantu à un periudu di 90 ghjorni à 6 mesi in e rete di i fornitori di hosting tedeschi Hetzner è Linode, chì ospitanu servitore di prughjettu è ambiente VPS ausiliari. L'attaccu hè urganizatu da redirezzione di u trafficu à un node di transitu chì rimpiazza u certificatu TLS per e cunnessione XMPP criptate cù l'estensione STARTTLS.
L'attaccu hè statu nutatu per un errore da i so urganizatori, chì ùn anu micca u tempu di rinnuvà u certificatu TLS utilizatu per u spoofing. U 16 d'uttrovi, l'amministratore di jabber.ru, quandu prova di cunnette à u serviziu, hà ricevutu un missaghju d'errore per via di a scadenza di u certificatu, ma u certificatu situatu in u servitore ùn hè micca scadutu. Per via di u risultatu, hè statu chì u certificatu chì u cliente hà ricevutu era diversu da u certificatu mandatu da u servitore. U primu certificatu TLS falsu hè statu ottenutu u 18 d'aprile di u 2023 per mezu di u serviziu Let's Encrypt, in quale l'attaccante, pudendu intercepte u trafficu, hà sappiutu cunfirmà l'accessu à i siti jabber.ru è xmpp.ru.
À u principiu, ci hè stata una supposizione chì u servitore di u prughjettu era statu cumprumissu è una sustituzione hè stata realizata da u so latu. Ma l'auditu ùn hà revelatu alcuna traccia di pirate. À u listessu tempu, in u logu nantu à u servitore, hè statu nutatu un spegnimentu di corta durazione è attivazione di l'interfaccia di rete (NIC Link is Down / NIC Link is Up), chì hè stata realizata u 18 di lugliu à 12:58 è puderia. indica manipulazioni cù a cunnessione di u servitore à u switch. Hè nutate chì dui certificati TLS falsi sò stati generati uni pochi di minuti prima - u 18 di lugliu à 12:49 è 12:38.
Inoltre, a sustituzione hè stata realizata micca solu in a reta di u fornitore Hetzner, chì ospitu u servitore principalu, ma ancu in a reta di u fornitore Linode, chì ospitu ambienti VPS cù proxies ausiliarii chì redirige u trafficu da altri indirizzi. Indirettu, hè statu truvatu chì u trafficu à u portu di a rete 5222 (XMPP STARTTLS) in e rete di i dui fornituri hè stata rediretta per un òspite supplementu, chì hà datu ragiuni per crede chì l'attaccu hè statu realizatu da una persona cù accessu à l'infrastruttura di i fornituri.
Teoricamente, a sustituzione puderia esse realizatu da u 18 d'aprile (a data di creazione di u primu certificatu falsu per jabber.ru), ma i casi cunfirmati di sustituzione di certificatu sò stati registrati solu da u 21 di lugliu à u 19 d'ottobre, tuttu questu tempu u scambiu di dati criptati. cù jabber.ru è xmpp.ru pò esse cunsideratu cumprumessi. A sustituzione si firmò dopu chì l'investigazione hà iniziatu, i testi sò stati fatti è una dumanda hè stata mandata à u serviziu di supportu di i fornituri Hetzner è Linode u 18 d'ottobre. À u listessu tempu, una transizione addiziale quandu u routing pacchetti mandati à u portu 5222 di unu di i servitori in Linode hè sempre osservatu oghje, ma u certificatu ùn hè più rimpiazzatu.
Hè presumitu chì l'attaccu puderia esse realizatu cù a cunniscenza di i fornituri à a dumanda di l'agenzii di l'ordine, per via di pirate l'infrastruttura di i dui fornituri, o da un impiigatu chì avia accessu à i dui fornituri. Pudendu intercepte è mudificà u trafficu XMPP, l'attaccante puderia acquistà l'accessu à tutti i dati di u contu, cum'è a storia di messageria guardata in u servitore, è puderia ancu mandà missaghji in nome di l'altri è fà cambiamenti à i missaghji di l'altri. I missaghji mandati cù a criptografia end-to-end (OMEMO, OTR o PGP) ponu esse cunsiderate micca cumprumessi se e chjave di criptografia sò verificate da l'utilizatori da i dui lati di a cunnessione. L'utilizatori di Jabber.ru sò cunsigliati di cambià i so password d'accessu è di verificà e chjavi OMEMO è PGP in i so magazzini PEP per una sostituzione pussibule.
Source: opennet.ru