Der Administrator des Jabber-Servers jabber.ru (xmpp.ru) hat einen Angriff zur Entschlüsselung des Benutzerverkehrs (MITM) identifiziert, der über einen Zeitraum von 90 Tagen bis 6 Monaten in den Netzwerken der deutschen Hosting-Anbieter Hetzner und Linode durchgeführt wurde, die den Jabber-Server jabber.ru (xmpp.ru) hosten Projektserver und zusätzliche VPS-Umgebung. Der Angriff wird organisiert, indem der Datenverkehr an einen Transitknoten umgeleitet wird, der das TLS-Zertifikat für mit der STARTTLS-Erweiterung verschlüsselte XMPP-Verbindungen ersetzt.
Der Angriff wurde aufgrund eines Fehlers der Organisatoren bemerkt, die keine Zeit hatten, das für das Spoofing verwendete TLS-Zertifikat zu erneuern. Am 16. Oktober erhielt der Administrator von jabber.ru beim Versuch, eine Verbindung zum Dienst herzustellen, eine Fehlermeldung wegen des Ablaufs des Zertifikats, das auf dem Server befindliche Zertifikat war jedoch nicht abgelaufen. Dabei stellte sich heraus, dass das vom Client empfangene Zertifikat sich von dem vom Server gesendeten Zertifikat unterschied. Das erste gefälschte TLS-Zertifikat wurde am 18. April 2023 über den Dienst Let's Encrypt erhalten, bei dem der Angreifer, der den Datenverkehr abfangen konnte, den Zugriff auf die Websites jabber.ru und xmpp.ru bestätigen konnte.
Zunächst wurde davon ausgegangen, dass der Projektserver kompromittiert wurde und auf seiner Seite eine Substitution durchgeführt wurde. Die Prüfung ergab jedoch keine Spuren von Hackerangriffen. Gleichzeitig wurde im Protokoll auf dem Server ein kurzzeitiges Aus- und Einschalten der Netzwerkschnittstelle (NIC Link is Down/NIC Link is Up) festgestellt, das am 18. Juli um 12:58 Uhr durchgeführt wurde und konnte deuten auf Manipulationen bei der Verbindung des Servers mit dem Switch hin. Bemerkenswert ist, dass einige Minuten zuvor – am 18. Juli um 12:49 und 12:38 Uhr – zwei gefälschte TLS-Zertifikate generiert wurden.
Darüber hinaus wurde die Substitution nicht nur im Netzwerk des Hetzner-Anbieters durchgeführt, der den Hauptserver hostet, sondern auch im Netzwerk des Linode-Anbieters, der VPS-Umgebungen mit Hilfs-Proxys hostete, die den Datenverkehr von anderen Adressen umleiten. Indirekt wurde festgestellt, dass der Datenverkehr zum Netzwerkport 5222 (XMPP STARTTLS) in den Netzwerken beider Anbieter über einen zusätzlichen Host umgeleitet wurde, was Anlass zu der Annahme gab, dass der Angriff von einer Person mit Zugriff auf die Infrastruktur der Anbieter ausgeführt wurde.
Theoretisch hätte die Ersetzung ab dem 18. April (dem Datum der Erstellung des ersten gefälschten Zertifikats für jabber.ru) durchgeführt werden können, bestätigte Fälle einer Zertifikatsersetzung wurden jedoch nur vom 21. Juli bis 19. Oktober registriert, wobei die ganze Zeit über ein verschlüsselter Datenaustausch stattfand mit jabber.ru und xmpp.ru kann als kompromittiert angesehen werden. Die Substitution wurde nach Beginn der Untersuchung eingestellt, Tests wurden durchgeführt und am 18. Oktober wurde eine Anfrage an den Support-Service der Anbieter Hetzner und Linode gesendet. Gleichzeitig ist auch heute noch ein zusätzlicher Übergang beim Routing von Paketen zu beobachten, die an Port 5222 eines der Server in Linode gesendet werden, das Zertifikat wird jedoch nicht mehr ersetzt.
Es wird davon ausgegangen, dass der Angriff mit Wissen der Anbieter im Auftrag von Strafverfolgungsbehörden, durch Hackerangriffe auf die Infrastrukturen beider Anbieter oder durch einen Mitarbeiter, der Zugriff auf beide Anbieter hatte, durchgeführt werden konnte. Durch die Möglichkeit, den XMPP-Verkehr abzufangen und zu ändern, könnte der Angreifer Zugriff auf alle kontobezogenen Daten erhalten, wie z. B. den auf dem Server gespeicherten Nachrichtenverlauf, und könnte auch Nachrichten im Namen anderer senden und Änderungen an den Nachrichten anderer Personen vornehmen. Mit Ende-zu-Ende-Verschlüsselung (OMEMO, OTR oder PGP) gesendete Nachrichten können als nicht gefährdet betrachtet werden, wenn die Verschlüsselungsschlüssel von Benutzern auf beiden Seiten der Verbindung überprüft werden. Benutzern von Jabber.ru wird empfohlen, ihre Zugangskennwörter zu ändern und die OMEMO- und PGP-Schlüssel in ihren PEP-Speichern auf einen möglichen Ersatz zu überprüfen.
Source: opennet.ru