مدیر سرور Jabber jabber.ru (xmpp.ru) حمله ای را برای رمزگشایی ترافیک کاربر (MITM) شناسایی کرد که طی یک دوره 90 روزه تا 6 ماهه در شبکه های ارائه دهندگان میزبانی آلمانی Hetzner و Linode انجام شده است. سرور پروژه و محیط VPS کمکی. این حمله با هدایت ترافیک به یک گره ترانزیت سازماندهی می شود که جایگزین گواهی TLS برای اتصالات XMPP رمزگذاری شده با استفاده از پسوند STARTTLS می شود.
این حمله به دلیل خطای سازماندهندگان آن مورد توجه قرار گرفت، که وقت نداشتند گواهی TLS مورد استفاده برای جعل را تمدید کنند. در تاریخ 16 اکتبر، مدیر jabber.ru، هنگام تلاش برای اتصال به سرویس، یک پیام خطا به دلیل انقضای گواهی دریافت کرد، اما گواهی واقع در سرور منقضی نشده بود. در نتیجه مشخص شد گواهی دریافتی مشتری با گواهی ارسال شده توسط سرور متفاوت است. اولین گواهی جعلی TLS در 18 آوریل 2023 از طریق سرویس Let's Encrypt به دست آمد که در آن مهاجم با توانایی رهگیری ترافیک، می توانست دسترسی به سایت های jabber.ru و xmpp.ru را تأیید کند.
در ابتدا، این فرض وجود داشت که سرور پروژه به خطر افتاده است و جایگزینی در سمت آن در حال انجام است. اما ممیزی هیچ اثری از هک نشان نداد. در همان زمان، در لاگ روی سرور، خاموش و روشن شدن کوتاه مدت رابط شبکه (لینک NIC پایین است/ لینک NIC بالا است) مشاهده شد که در تاریخ 18 جولای ساعت 12:58 انجام شد و میتوانست. دستکاری های اتصال سرور به سوئیچ را نشان می دهد. قابل توجه است که دو گواهی جعلی TLS چند دقیقه قبل - در 18 ژوئیه در ساعت 12:49 و 12:38 تولید شد.
علاوه بر این، جایگزینی نه تنها در شبکه ارائهدهنده Hetzner که سرور اصلی را میزبانی میکند، بلکه در شبکه ارائهدهنده Linode نیز انجام شد که میزبان محیطهای VPS با پراکسیهای کمکی است که ترافیک را از آدرسهای دیگر هدایت میکند. به طور غیرمستقیم، مشخص شد که ترافیک به پورت شبکه 5222 (XMPP STARTTLS) در شبکههای هر دو ارائهدهنده از طریق یک میزبان اضافی هدایت شده است، که دلیلی برای این باور وجود دارد که حمله توسط شخصی با دسترسی به زیرساخت ارائهدهندگان انجام شده است.
از نظر تئوری، این جایگزینی میتوانست از 18 آوریل (تاریخ ایجاد اولین گواهی جعلی برای jabber.ru) انجام شود، اما موارد تایید شده جایگزینی گواهی تنها از 21 ژوئیه تا 19 اکتبر ثبت شد، در تمام این مدت تبادل داده رمزگذاری شده بود. با jabber.ru و xmpp.ru را می توان در معرض خطر در نظر گرفت. پس از شروع تحقیقات، جایگزینی متوقف شد، آزمایشها انجام شد و درخواستی به خدمات پشتیبانی ارائهدهندگان Hetzner و Linode در 18 اکتبر ارسال شد. در همان زمان، یک انتقال اضافی هنگام مسیریابی بسته های ارسال شده به پورت 5222 یکی از سرورهای Linode هنوز مشاهده می شود، اما گواهی دیگر جایگزین نمی شود.
فرض بر این است که حمله می تواند با اطلاع ارائه دهندگان به درخواست سازمان های مجری قانون، در نتیجه هک کردن زیرساخت های هر دو ارائه دهنده، یا توسط کارمندی که به هر دو ارائه دهنده دسترسی داشته، انجام شده باشد. با توانایی رهگیری و تغییر ترافیک XMPP، مهاجم می تواند به تمام داده های مربوط به حساب، مانند تاریخچه پیام های ذخیره شده در سرور، دسترسی داشته باشد و همچنین می تواند از طرف دیگران پیام ارسال کند و تغییراتی در پیام های افراد دیگر ایجاد کند. پیامهایی که با استفاده از رمزگذاری سرتاسر (OMEMO، OTR یا PGP) ارسال میشوند، در صورتی که کلیدهای رمزگذاری توسط کاربران هر دو طرف اتصال تأیید شوند، میتوانند به خطر نیفتند. به کاربران Jabber.ru توصیه می شود رمزهای عبور دسترسی خود را تغییر دهند و کلیدهای OMEMO و PGP را در انباره های PEP خود برای جایگزینی احتمالی بررسی کنند.
منبع: opennet.ru