Jabberi serveri jabber.ru (xmpp.ru) administraator tuvastas rünnaku kasutajaliikluse dekrüpteerimiseks (MITM), mis viidi läbi 90 päeva kuni 6 kuu jooksul Saksa hostiteenuse pakkujate Hetzner ja Linode võrkudes, mis hostivad projektiserver ja VPS abikeskkond. Rünnak korraldatakse liikluse ümbersuunamisega transiidisõlme, mis asendab STARTTLS-i laienduse abil krüpteeritud XMPP-ühenduste TLS-i sertifikaadi.
Rünnakut märkasid vea tõttu selle korraldajad, kes ei jõudnud võltsimiseks kasutatud TLS-i sertifikaati uuendada. 16. oktoobril sai jabber.ru administraator teenusega ühenduse loomisel tõrketeate sertifikaadi aegumise kohta, kuid serveris asuv sertifikaat ei olnud aegunud. Selle tulemusena selgus, et sertifikaat, mille klient sai, erines serveri saadetud sertifikaadist. Esimene võlts TLS-sertifikaat saadi 18. aprillil 2023 teenuse Let's Encrypt kaudu, kus ründajal õnnestus liikluse pealtkuulamisel kinnitada juurdepääsu saitidele jabber.ru ja xmpp.ru.
Alguses oletati, et projektiserver on rikutud ja selle poolel toimub asendus. Kuid audit ei tuvastanud häkkimise jälgi. Samal ajal oli serveri logis märgata lühiajalist võrguliidese välja- ja sisselülitamist (NIC Link is Down/NIC Link is Up), mis viidi läbi 18. juulil kell 12:58 ja võis. näidata manipuleerimisi serveri ühendamisel kommutaatoriga. Tähelepanuväärne on, et paar minutit varem genereeriti kaks võltsitud TLS-sertifikaati - 18. juulil kell 12:49 ja 12:38.
Lisaks viidi asendamine läbi mitte ainult põhiserverit majutava Hetzneri pakkuja võrgus, vaid ka Linode'i pakkuja võrgus, mis majutas VPS-i keskkondi koos abipuhverserveritega, mis suunavad liiklust ümber teistelt aadressidelt. Kaudselt leiti, et mõlema pakkuja võrkudes suunati liiklus võrguporti 5222 (XMPP STARTTLS) läbi täiendava hosti, mis andis alust arvata, et ründe sooritas isik, kellel on juurdepääs pakkujate infrastruktuurile.
Teoreetiliselt oleks asendamine võinud toimuda alates 18. aprillist (jabber.ru esimese võltssertifikaadi loomise kuupäev), kuid kinnitatud sertifikaadi asendamise juhtumeid registreeriti alles 21. juulist 19. oktoobrini, kogu selle aja krüptitud andmevahetus. koos jabber.ru ja xmpp.ru võib pidada ohustatud. Asendamine lõpetati pärast uurimise algust, viidi läbi testid ja 18. oktoobril saadeti päring pakkujate Hetzneri ja Linode tugiteenistusele. Samal ajal täheldatakse ka täna täiendavat üleminekut ühe Linode serveri porti 5222 saadetud pakettide marsruutimisel, kuid sertifikaati enam ei asendata.
Eeldatakse, et rünnak võis toimuda teenusepakkujate teadmisel õiguskaitseorganite palvel, mõlema pakkuja infrastruktuuri häkkimise tulemusena või töötaja poolt, kellel oli juurdepääs mõlemale pakkujale. XMPP-liikluse pealtkuulamise ja muutmise kaudu võib ründaja pääseda juurde kõikidele kontoga seotud andmetele, nagu serverisse salvestatud sõnumite ajalugu, ning saata ka sõnumeid teiste nimel ja muuta teiste inimeste sõnumeid. End-to-end krüptimist (OMEMO, OTR või PGP) kasutades saadetud sõnumeid võib pidada ohustamata, kui krüpteerimisvõtmed on ühenduse mõlema poole kasutajad kontrollinud. Jabber.ru kasutajatel soovitatakse muuta oma juurdepääsuparoolid ja kontrollida oma PEP-mäluseadmetes olevaid OMEMO- ja PGP-võtmeid võimaliku asendamise osas.
Allikas: opennet.ru