El administrador del servidor Jabber jabber.ru (xmpp.ru) identificó un ataque para descifrar el tráfico de usuarios (MITM), llevado a cabo durante un período de 90 días a 6 meses en las redes de los proveedores de hosting alemanes Hetzner y Linode, que alojan el Servidor de proyectos y entorno VPS auxiliar. El ataque se organiza redirigiendo el tráfico a un nodo de tránsito que reemplaza el certificado TLS para conexiones XMPP cifradas con la extensión STARTTLS.
El ataque se detectó debido a un error de sus organizadores, quienes no tuvieron tiempo de renovar el certificado TLS utilizado para la suplantación. El 16 de octubre, el administrador de jabber.ru, al intentar conectarse al servicio, recibió un mensaje de error debido a la caducidad del certificado, pero el certificado ubicado en el servidor no estaba caducado. Como resultado, resultó que el certificado que recibió el cliente era diferente del certificado enviado por el servidor. El primer certificado TLS falso se obtuvo el 18 de abril de 2023 a través del servicio Let's Encrypt, en el que el atacante, al poder interceptar el tráfico, pudo confirmar el acceso a los sitios jabber.ru y xmpp.ru.
Al principio se supuso que el servidor del proyecto estaba comprometido y que se estaba realizando una sustitución por su parte. Pero la auditoría no reveló ningún rastro de piratería. Al mismo tiempo, en el registro del servidor se detectó un breve apagado y encendido de la interfaz de red (NIC Link is Down/NIC Link is Up), que se realizó el 18 de julio a las 12:58 y pudo indicar manipulaciones con la conexión del servidor al conmutador. Cabe destacar que unos minutos antes, el 18 de julio a las 12:49 y 12:38, se generaron dos certificados TLS falsos.
Además, la sustitución se llevó a cabo no solo en la red del proveedor Hetzner, que aloja el servidor principal, sino también en la red del proveedor Linode, que albergaba entornos VPS con servidores proxy auxiliares que redirigen el tráfico desde otras direcciones. Indirectamente, se encontró que el tráfico al puerto de red 5222 (XMPP STARTTLS) en las redes de ambos proveedores era redirigido a través de un host adicional, lo que daba motivos para creer que el ataque fue realizado por una persona con acceso a la infraestructura de los proveedores.
Teóricamente, la sustitución podría haberse realizado a partir del 18 de abril (fecha de creación del primer certificado falso para jabber.ru), pero los casos confirmados de sustitución de certificados se registraron solo del 21 de julio al 19 de octubre, todo este tiempo el intercambio de datos cifrados. con jabber.ru y xmpp.ru pueden considerarse comprometidos. La sustitución se detuvo después de que se inició la investigación, se realizaron pruebas y el 18 de octubre se envió una solicitud al servicio de soporte de los proveedores Hetzner y Linode. Al mismo tiempo, todavía se observa una transición adicional al enrutar paquetes enviados al puerto 5222 de uno de los servidores de Linode, pero el certificado ya no se reemplaza.
Se supone que el ataque podría haber sido realizado con conocimiento de los proveedores a petición de las fuerzas del orden, como resultado de un hackeo de las infraestructuras de ambos proveedores, o por un empleado que tenía acceso a ambos proveedores. Al poder interceptar y modificar el tráfico XMPP, el atacante podría obtener acceso a todos los datos relacionados con la cuenta, como el historial de mensajes almacenado en el servidor, y también podría enviar mensajes en nombre de otros y realizar cambios en los mensajes de otras personas. Los mensajes enviados utilizando cifrado de extremo a extremo (OMEMO, OTR o PGP) se pueden considerar no comprometidos si los usuarios de ambos lados de la conexión verifican las claves de cifrado. Se recomienda a los usuarios de Jabber.ru que cambien sus contraseñas de acceso y verifiquen las claves OMEMO y PGP en sus almacenes PEP para una posible sustitución.
Fuente: opennet.ru