Administrator Jabber poslužitelja jabber.ru (xmpp.ru) identificirao je napad za dekriptiranje korisničkog prometa (MITM), koji se provodio u razdoblju od 90 dana do 6 mjeseci u mrežama njemačkih pružatelja usluga hostinga Hetzner i Linode, koji hostiraju poslužitelj projekta i pomoćno VPS okruženje. Napad je organiziran preusmjeravanjem prometa na tranzitni čvor koji zamjenjuje TLS certifikat za XMPP veze šifrirane pomoću STARTTLS ekstenzije.
Napad je primijećen greškom njegovih organizatora koji nisu stigli obnoviti TLS certifikat korišten za lažiranje. Dana 16. listopada, administrator jabber.ru, kada se pokušao spojiti na uslugu, primio je poruku o pogrešci zbog isteka certifikata, ali certifikat koji se nalazi na poslužitelju nije istekao. Kao rezultat toga pokazalo se da se certifikat koji je klijent primio razlikuje od certifikata koji je poslao poslužitelj. Prvi lažni TLS certifikat dobiven je 18. travnja 2023. preko usluge Let's Encrypt, u kojoj je napadač, budući da je mogao presresti promet, mogao potvrditi pristup stranicama jabber.ru i xmpp.ru.
Isprva je postojala pretpostavka da je projektni poslužitelj kompromitiran i da se na njegovoj strani provodi zamjena. Ali revizija nije otkrila nikakve tragove hakiranja. Istovremeno je u logu na serveru uočeno kratkotrajno gašenje i paljenje mrežnog sučelja (NIC Link is Down/NIC Link is Up) koje je izvršeno 18. srpnja u 12:58 i moglo ukazuju na manipulacije s vezom poslužitelja na preklopnik. Zanimljivo je da su nekoliko minuta ranije generirana dva lažna TLS certifikata - 18. srpnja u 12:49 i 12:38.
Osim toga, zamjena je provedena ne samo u mreži Hetzner providera, koji ugošćuje glavni poslužitelj, već iu mreži Linode providera, koji je ugostio VPS okruženja s pomoćnim proxyjima koji preusmjeravaju promet s drugih adresa. Neizravno je utvrđeno da je promet prema mrežnom portu 5222 (XMPP STARTTLS) u mrežama oba pružatelja preusmjeren preko dodatnog hosta, što je dalo razloga vjerovati da je napad izvršila osoba s pristupom infrastrukturi pružatelja.
Teoretski, zamjena se mogla izvršiti od 18. travnja (datum stvaranja prvog lažnog certifikata za jabber.ru), ali potvrđeni slučajevi zamjene certifikata zabilježeni su tek od 21. srpnja do 19. listopada, cijelo to vrijeme šifrirana razmjena podataka s jabber.ru i xmpp.ru može se smatrati ugroženim. Zamjena je prestala nakon početka istrage, obavljenih testova i slanja zahtjeva službi podrške pružatelja Hetzner i Linode 18. listopada. Istodobno, dodatni prijelaz prilikom usmjeravanja paketa koji se šalju na port 5222 jednog od poslužitelja u Linodeu postoji i danas, ali se certifikat više ne zamjenjuje.
Pretpostavlja se da je napad mogao biti izveden uz znanje pružatelja na zahtjev agencija za provođenje zakona, kao rezultat hakiranja infrastrukture oba pružatelja, ili od strane zaposlenika koji je imao pristup oba pružatelja. Budući da je u mogućnosti presresti i modificirati XMPP promet, napadač bi mogao dobiti pristup svim podacima povezanim s računom, kao što je povijest poruka pohranjena na poslužitelju, a također bi mogao slati poruke u ime drugih i mijenjati poruke drugih ljudi. Poruke poslane end-to-end enkripcijom (OMEMO, OTR ili PGP) mogu se smatrati neugroženim ako su ključevi enkripcije potvrđeni od strane korisnika na obje strane veze. Korisnicima Jabber.ru savjetuje se da promijene svoje pristupne lozinke i provjere OMEMO i PGP ključeve u svojim PEP pohranama radi moguće zamjene.
Izvor: opennet.ru