La administranto de la servilo Jabber jabber.ru (xmpp.ru) identigis atakon por malĉifri uzanttrafikon (MITM), efektivigitan dum periodo de 90 tagoj ĝis 6 monatoj en la retoj de germanaj gastigaj provizantoj Hetzner kaj Linode, kiuj gastigas la projektservilo kaj helpa VPS.medio. La atako estas organizita redirektante trafikon al transita nodo, kiu anstataŭigas la TLS-atestilon por XMPP-konektoj ĉifritaj per la STARTTLS-etendo.
La atako estis rimarkita pro eraro de ĝiaj organizantoj, kiuj ne havis tempon por renovigi la TLS-atestilon uzatan por la parodiado. La 16-an de oktobro, la administranto de jabber.ru, provante konektiĝi al la servo, ricevis erarmesaĝon pro la eksvalidiĝo de la atestilo, sed la atestilo situanta sur la servilo ne eksvalidiĝis. Kiel rezulto, montriĝis, ke la atestilo, kiun la kliento ricevis, estis malsama de la atestilo sendita de la servilo. La unua falsa TLS-atestilo estis akirita la 18-an de aprilo 2023 per la servo Let's Encrypt, en kiu la atakanto, povante kapti trafikon, povis konfirmi aliron al la retejoj jabber.ru kaj xmpp.ru.
Komence, estis supozo ke la projektservilo estis endanĝerigita kaj anstataŭigo estis farita sur sia flanko. Sed la revizio ne malkaŝis spurojn de hakado. Samtempe, en la protokolo sur la servilo, mallongdaŭra malŝalto kaj ŝaltado de la reto-interfaco (NIC Link is Down/NIC Link is Up) estis rimarkita, kiu estis farita la 18-an de julio je 12:58 kaj povis indiki manipuladojn kun la konekto de la servilo al la ŝaltilo. Estas rimarkinde, ke du falsaj TLS-atestiloj estis generitaj kelkajn minutojn pli frue - la 18-an de julio je 12:49 kaj 12:38.
Krome, la anstataŭigo estis efektivigita ne nur en la reto de la Hetzner-provizanto, kiu gastigas la ĉefan servilon, sed ankaŭ en la reto de la Linode-provizanto, kiu gastigis VPS-mediojn kun helpaj prokuriloj, kiuj redirektas trafikon de aliaj adresoj. Nerekte, oni trovis, ke trafiko al reto-haveno 5222 (XMPP STARTTLS) en la retoj de ambaŭ provizantoj estis redirektita per plia gastiganto, kio donis kialon kredi, ke la atako estis farita de persono kun aliro al la infrastrukturo de la provizantoj.
Teorie, la anstataŭigo povus esti efektivigita de la 18-a de aprilo (la dato de kreado de la unua falsa atestilo por jabber.ru), sed konfirmitaj kazoj de atestila anstataŭigo estis registritaj nur de la 21-a de julio ĝis la 19-a de oktobro, dum ĉi tiu tempo ĉifrita datumŝanĝo. kun jabber.ru kaj xmpp.ru povas esti konsiderita kompromitita. La anstataŭigo ĉesis post kiam la enketo komenciĝis, testoj estis faritaj kaj peto estis sendita al la helpservo de provizantoj Hetzner kaj Linode la 18-an de oktobro. Samtempe, kroma transiro dum enrutado de pakoj senditaj al haveno 5222 de unu el la serviloj en Linode ankoraŭ estas observita hodiaŭ, sed la atestilo ne plu estas anstataŭigita.
Oni supozas, ke la atako povus esti farita kun la scio de la provizantoj laŭ peto de policaj agentejoj, kiel rezulto de hakado de la infrastrukturoj de ambaŭ provizantoj, aŭ de dungito kiu havis aliron al ambaŭ provizantoj. Povante kapti kaj modifi XMPP-trafikon, la atakanto povus akiri aliron al ĉiuj kont-rilataj datumoj, kiel mesaĝhistorio stokita sur la servilo, kaj ankaŭ povus sendi mesaĝojn nome de aliaj kaj fari ŝanĝojn al la mesaĝoj de aliaj homoj. Mesaĝoj senditaj uzante fin-al-finan ĉifradon (OMEMO, OTR aŭ PGP) povas esti konsiderataj ne kompromititaj se la ĉifradŝlosiloj estas kontrolitaj de uzantoj ambaŭflanke de la konekto. Jabber.ru-uzantoj estas konsilitaj ŝanĝi siajn alirpasvortojn kaj kontroli la OMEMO- kaj PGP-ŝlosilojn en siaj PEP-stokoj por ebla anstataŭigo.
fonto: opennet.ru