A Jabber szerver jabber.ru (xmpp.ru) adminisztrátora a felhasználói forgalom visszafejtésére irányuló támadást (MITM) azonosított, amelyet 90 naptól 6 hónapig tartó időszakban hajtottak végre a német Hetzner és Linode tárhelyszolgáltatók hálózatán, amelyek a tárhelyet üzemeltetik. projekt szerver és kiegészítő VPS környezet. A támadást úgy szervezik, hogy a forgalmat egy olyan átviteli csomópontra irányítják át, amely a STARTTLS kiterjesztéssel titkosított XMPP-kapcsolatok TLS-tanúsítványát helyettesíti.
A támadást egy hiba miatt vették észre a szervezők, akiknek nem volt idejük megújítani a hamisításhoz használt TLS-tanúsítványt. Október 16-án a jabber.ru adminisztrátora, amikor megpróbált csatlakozni a szolgáltatáshoz, hibaüzenetet kapott a tanúsítvány lejárta miatt, de a szerveren található tanúsítvány nem járt le. Ennek eredményeként kiderült, hogy a kliens által kapott tanúsítvány különbözik a szerver által küldött tanúsítványtól. Az első hamis TLS-tanúsítványt 18. április 2023-án szerezték be a Let's Encrypt szolgáltatáson keresztül, amelyben a támadó, mivel képes volt elfogni a forgalmat, meg tudta erősíteni a hozzáférést a jabber.ru és az xmpp.ru oldalakhoz.
Eleinte az volt a feltételezés, hogy a projektszerver kompromittálódott, és cserét hajtottak végre az oldalán. Ám az ellenőrzés nem tárt fel hackelés nyomát. Ezzel egyidejűleg a szerver naplójában a hálózati interfész rövid távú ki- és bekapcsolását észlelték (NIC Link le/NIC Link fel van), amely július 18-án 12:58-kor megtörtént és jelzi a kiszolgáló és a kapcsoló csatlakoztatásával kapcsolatos manipulációkat. Figyelemre méltó, hogy néhány perccel korábban - július 18-án 12:49-kor és 12:38-kor - két hamis TLS-tanúsítványt generáltak.
Ezen túlmenően, a helyettesítés nem csak a fő szervert kiszolgáló Hetzner szolgáltató hálózatában, hanem a Linode szolgáltató hálózatában is megtörtént, amely VPS-környezeteket fogadott a forgalom más címekről átirányító segédproxykkal. Közvetve kiderült, hogy mindkét szolgáltató hálózatában a forgalom az 5222-es hálózati portra (XMPP STARTTLS) egy további gazdagépen keresztül került átirányításra, ami alapján feltételezhető, hogy a támadást olyan személy követte el, aki hozzáféréssel rendelkezik a szolgáltatók infrastruktúrájához.
Elméletileg a helyettesítést április 18-tól (a jabber.ru első hamis tanúsítványának létrehozásának dátumától) lehetett volna végrehajtani, de megerősített tanúsítványcsere-eseteket csak július 21-től október 19-ig rögzítettek, mindvégig titkosított adatcserével a jabber.ru és az xmpp.ru használatával veszélyeztetettnek tekinthető . A helyettesítés a vizsgálat megkezdése után leállt, teszteket végeztek, és október 18-án kérelmet küldtek a Hetzner és a Linode szolgáltatók támogatási szolgálatának. Ugyanakkor a Linode egyik szerverének 5222-es portjára küldött csomagok irányítása során még ma is megfigyelhető egy további átmenet, de a tanúsítványt már nem cserélik le.
Feltételezhető, hogy a támadást a szolgáltatók tudtával hajthatták végre a bűnüldöző szervek kérésére, mindkét szolgáltató infrastruktúrájának feltörése eredményeként, vagy olyan alkalmazott által, aki mindkét szolgáltatóhoz hozzáfért. Az XMPP-forgalom elfogásával és módosításával a támadó hozzáférhet az összes fiókkal kapcsolatos adathoz, például a szerveren tárolt üzenetküldési előzményekhez, valamint üzeneteket küldhet mások nevében, és módosíthatja mások üzeneteit. A végpontok közötti titkosítással (OMEMO, OTR vagy PGP) küldött üzenetek nem tekinthetők veszélyeztetettnek, ha a titkosítási kulcsokat a kapcsolat mindkét oldalán lévő felhasználók ellenőrzik. A Jabber.ru felhasználóinak azt tanácsoljuk, hogy változtassák meg hozzáférési jelszavukat, és ellenőrizzék a PEP-tárolóik OMEMO- és PGP-kulcsait esetleges helyettesítés céljából.
Forrás: opennet.ru