L'administrateur du serveur Jabber jabber.ru (xmpp.ru) a identifié une attaque visant à décrypter le trafic utilisateur (MITM), réalisée sur une période de 90 jours à 6 mois dans les réseaux des hébergeurs allemands Hetzner et Linode, qui hébergent le serveur de projet et environnement VPS auxiliaire. L'attaque est organisée en redirigeant le trafic vers un nœud de transit qui remplace le certificat TLS pour les connexions XMPP chiffrées grâce à l'extension STARTTLS.
L'attaque a été remarquée à cause d'une erreur de ses organisateurs, qui n'ont pas eu le temps de renouveler le certificat TLS utilisé pour l'usurpation d'identité. Le 16 octobre, l'administrateur de jabber.ru, en essayant de se connecter au service, a reçu un message d'erreur en raison de l'expiration du certificat, mais le certificat situé sur le serveur n'a pas expiré. En conséquence, il s’est avéré que le certificat reçu par le client était différent du certificat envoyé par le serveur. Le premier faux certificat TLS a été obtenu le 18 avril 2023 via le service Let's Encrypt, dans lequel l'attaquant, capable d'intercepter le trafic, a pu confirmer l'accès aux sites jabber.ru et xmpp.ru.
Au début, on pensait que le serveur du projet avait été compromis et qu'une substitution était en cours de son côté. Mais l’audit n’a révélé aucune trace de piratage. Au même moment, dans le journal du serveur, une mise hors et sous tension à court terme de l'interface réseau (NIC Link is Down/NIC Link is Up) a été constatée, qui a eu lieu le 18 juillet à 12h58 et pourrait indiquer les manipulations avec la connexion du serveur au switch. Il est à noter que deux faux certificats TLS ont été générés quelques minutes plus tôt, le 18 juillet à 12h49 et 12h38.
De plus, la substitution a été effectuée non seulement dans le réseau du fournisseur Hetzner, qui héberge le serveur principal, mais également dans le réseau du fournisseur Linode, qui hébergeait des environnements VPS avec des proxys auxiliaires qui redirigent le trafic depuis d'autres adresses. Indirectement, il a été constaté que le trafic vers le port réseau 5222 (XMPP STARTTLS) dans les réseaux des deux fournisseurs était redirigé via un hôte supplémentaire, ce qui donnait des raisons de croire que l'attaque avait été menée par une personne ayant accès à l'infrastructure des fournisseurs.
Théoriquement, la substitution aurait pu être effectuée à partir du 18 avril (date de création du premier faux certificat pour jabber.ru), mais les cas confirmés de substitution de certificat n'ont été enregistrés que du 21 juillet au 19 octobre, pendant tout ce temps échange de données cryptées avec jabber.ru et xmpp.ru peuvent être considérés comme compromis. Le remplacement a été arrêté après le début de l'enquête, des tests ont été effectués et une demande a été envoyée au service d'assistance des fournisseurs Hetzner et Linode le 18 octobre. Parallèlement, une transition supplémentaire lors du routage des paquets envoyés vers le port 5222 d'un des serveurs de Linode est encore observée aujourd'hui, mais le certificat n'est plus remplacé.
On suppose que l'attaque aurait pu être menée à la connaissance des prestataires, à la demande des forces de l'ordre, à la suite d'un piratage des infrastructures des deux prestataires, ou par un employé ayant accès aux deux prestataires. En étant capable d'intercepter et de modifier le trafic XMPP, l'attaquant pourrait accéder à toutes les données liées au compte, telles que l'historique des messages stocké sur le serveur, et pourrait également envoyer des messages au nom d'autrui et apporter des modifications aux messages d'autres personnes. Les messages envoyés via le cryptage de bout en bout (OMEMO, OTR ou PGP) peuvent être considérés comme non compromis si les clés de cryptage sont vérifiées par les utilisateurs des deux côtés de la connexion. Il est conseillé aux utilisateurs de Jabber.ru de modifier leurs mots de passe d'accès et de vérifier les clés OMEMO et PGP dans leurs stockages PEP pour une éventuelle substitution.
Source: opennet.ru