Administratè a nan sèvè a Jabber jabber.ru (xmpp.ru) te idantifye yon atak dechifre trafik itilizatè (MITM), te pote soti sou yon peryòd de 90 jou a 6 mwa nan rezo yo nan founisè hosting Alman Hetzner ak Linode, ki òganize la. sèvè pwojè ak oksilyè VPS anviwònman. Atak la òganize lè yo redireksyon trafik nan yon ne transpò ki ranplase sètifika TLS pou koneksyon XMPP ki ankripte lè l sèvi avèk ekstansyon STARTTLS la.
Atak la te remake akòz yon erè pa òganizatè li yo, ki pa t 'gen tan renouvle sètifika TLS yo itilize pou spoofing la. Sou 16 oktòb, administratè a nan jabber.ru, lè yo ap eseye konekte ak sèvis la, te resevwa yon mesaj erè akòz ekspirasyon an nan sètifika a, men sètifika a ki sitiye sou sèvè a pa te ekspire. Kòm yon rezilta, li te tounen soti ke sètifika kliyan an te resevwa te diferan de sètifika a voye pa sèvè a. Premye fo sètifika TLS la te jwenn nan dat 18 avril 2023 atravè sèvis Let's Encrypt, kote atakè a, lè yo te kapab entèsepte trafik, te kapab konfime aksè nan sit yo jabber.ru ak xmpp.ru.
Okòmansman, te gen yon sipozisyon ke sèvè pwojè a te konpwomèt epi yo te fè yon sibstitisyon sou bò li yo. Men, kontwòl kontab la pa t 'revele okenn tras nan Hacking. An menm tan an, nan boutèy demi lit la sou sèvè a, yo te remake yon kout tèm switch koupe ak sou nan koòdone rezo a (Lyen NIC se Down / NIC Link se Up), ki te fèt sou Jiyè 18 a 12:58 e li te kapab. endike manipilasyon ak koneksyon an nan sèvè a switch la. Li enpòtan pou remake ke de fo sètifika TLS yo te pwodwi kèk minit pi bonè - sou Jiyè 18 a 12:49 ak 12:38.
Anplis de sa, sibstitisyon an te pote soti pa sèlman nan rezo a nan founisè Hetzner, ki gen tout pouvwa a sèvè prensipal la, men tou, nan rezo a nan founisè a Linode, ki anime anviwònman VPS ak proxy oksilyè ki redireksyon trafik soti nan lòt adrès. Endirèkteman, yo te jwenn ke trafik nan rezo pò 5222 (XMPP STARTTLS) nan rezo yo nan tou de founisè yo te redireksyon atravè yon lame adisyonèl, ki te bay rezon pou kwè ke atak la te fèt pa yon moun ki gen aksè a enfrastrikti founisè yo.
Teyorikman, sibstitisyon an te kapab te pote soti nan 18 avril (dat la nan kreyasyon premye sètifika a fo pou jabber.ru), men ka konfime nan sibstitisyon sètifika yo te anrejistre sèlman soti nan Jiyè 21 a 19 oktòb, pandan tout tan sa a echanj done chiffres. ak jabber.ru ak xmpp.ru ka konsidere kòm konpwomèt . Ranplasman an te sispann apre ankèt la te kòmanse, tès yo te fèt epi yo te voye yon demann bay sèvis sipò founisè Hetzner ak Linode nan dat 18 oktòb. An menm tan an, yo toujou obsève yon tranzisyon adisyonèl lè w ap voye pake yo nan pò 5222 nan youn nan serveurs nan Linode jodi a, men sètifika a pa ranplase ankò.
Yo sipoze ke atak la te kapab fèt ak konesans nan founisè yo nan demann ajans ki fè respekte lalwa, kòm yon rezilta nan Hacking enfrastrikti yo nan tou de founisè yo, oswa pa yon anplwaye ki te gen aksè a tou de founisè yo. Lè yo kapab entèsepte ak modifye trafik XMPP, atakè a ka jwenn aksè a tout done ki gen rapò ak kont, tankou istwa mesaj ki estoke sou sèvè a, epi li kapab tou voye mesaj sou non lòt moun epi fè chanjman nan mesaj lòt moun. Mesaj yo voye lè l sèvi avèk chifreman fen-a-fen (OMEMO, OTR oswa PGP) ka konsidere kòm pa konpwomèt si kle yo chifreman yo verifye pa itilizatè sou tou de bò koneksyon an. Itilizatè Jabber.ru yo konseye yo chanje modpas aksè yo epi tcheke kle OMEMO ak PGP nan depo PEP yo pou posib sibstitisyon.
Sous: opennet.ru