O administrador do servidor Jabber jabber.ru (xmpp.ru) identificou un ataque para descifrar o tráfico de usuarios (MITM), realizado durante un período de 90 días a 6 meses nas redes dos provedores de hospedaxe alemáns Hetzner e Linode, que albergan o servidor do proxecto e VPS auxiliar.entorno. O ataque organízase redirixindo o tráfico a un nodo de tránsito que substitúe o certificado TLS para conexións XMPP cifradas mediante a extensión STARTTLS.
O ataque notouse debido a un erro dos seus organizadores, que non tiveron tempo de renovar o certificado TLS utilizado para a suplantación. O 16 de outubro, o administrador de jabber.ru, ao tentar conectarse ao servizo, recibiu unha mensaxe de erro debido á caducidade do certificado, pero o certificado situado no servidor non caducou. Como resultado, resultou que o certificado que recibiu o cliente era diferente do certificado enviado polo servidor. O primeiro certificado TLS falso obtívose o 18 de abril de 2023 a través do servizo Let's Encrypt, no que o atacante, sendo capaz de interceptar o tráfico, puido confirmar o acceso aos sitios jabber.ru e xmpp.ru.
Nun primeiro momento, supoñíase que o servidor do proxecto estaba comprometido e que se estaba a realizar unha substitución do seu lado. Pero a auditoría non revelou ningún rastro de hackeo. Ao mesmo tempo, no rexistro do servidor, notouse un apagado e aceso a curto prazo da interface de rede (Link NIC está desactivado/Enlace NIC está subido), que se realizou o 18 de xullo ás 12:58 e podería indica manipulacións coa conexión do servidor ao switch. Cabe destacar que se xeraron dous certificados TLS falsos uns minutos antes: o 18 de xullo ás 12:49 e ás 12:38.
Ademais, a substitución realizouse non só na rede do provedor Hetzner, que aloxa o servidor principal, senón tamén na rede do provedor Linode, que albergaba contornas VPS con proxies auxiliares que redirixen o tráfico doutros enderezos. Indirectamente, comprobouse que o tráfico ao porto de rede 5222 (XMPP STARTTLS) nas redes de ambos provedores foi redirixido a través dun host adicional, o que daba motivos para crer que o ataque foi realizado por unha persoa con acceso á infraestrutura dos provedores.
Teoricamente, a substitución podería realizarse a partir do 18 de abril (data de creación do primeiro certificado falso para jabber.ru), pero os casos confirmados de substitución de certificado só se rexistraron do 21 de xullo ao 19 de outubro, durante todo este tempo intercambio de datos cifrados. con jabber.ru e xmpp.ru pódese considerar comprometido. A substitución detívose despois de que comezase a investigación, realizáronse probas e enviouse unha solicitude ao servizo de soporte dos provedores Hetzner e Linode o 18 de outubro. Ao mesmo tempo, aínda se observa hoxe unha transición adicional ao enrutar os paquetes enviados ao porto 5222 dun dos servidores de Linode, pero o certificado xa non se substitúe.
Suponse que o ataque puido realizarse co coñecemento dos provedores a petición das forzas da orde, como consecuencia da piratería das infraestruturas de ambos provedores, ou por un empregado que tivese acceso a ambos provedores. Ao poder interceptar e modificar o tráfico XMPP, o atacante podería acceder a todos os datos relacionados coa conta, como o historial de mensaxes almacenados no servidor, e tamén podería enviar mensaxes en nome doutros e facer cambios nas mensaxes doutras persoas. As mensaxes enviadas mediante o cifrado de extremo a extremo (OMEMO, OTR ou PGP) poden considerarse non comprometidas se as claves de cifrado son verificadas polos usuarios de ambos os dous lados da conexión. Recoméndase aos usuarios de Jabber.ru que cambien os seus contrasinais de acceso e que comproben as claves OMEMO e PGP nos seus almacenamentos PEP para posibles substitucións.
Fonte: opennet.ru