Jabber սերվերի jabber.ru (xmpp.ru) ադմինիստրատորը հայտնաբերել է հարձակում՝ գաղտնազերծելու օգտատերերի տրաֆիկը (MITM), որն իրականացվել է 90 օրից մինչև 6 ամիս տևողությամբ գերմանական հոսթինգ պրովայդերների ցանցերում, որոնք հյուրընկալում են նախագծի սերվեր և օժանդակ VPS միջավայր: Հարձակումը կազմակերպվում է՝ երթևեկությունը վերահղելով դեպի տարանցիկ հանգույց, որը փոխարինում է TLS վկայագիրը XMPP կապերի համար, որոնք կոդավորված են STARTTLS ընդլայնման միջոցով:
Հարձակումը նկատվել է դրա կազմակերպիչների սխալի պատճառով, որոնք չեն հասցրել թարմացնել կեղծման համար օգտագործված TLS վկայականը։ Հոկտեմբերի 16-ին jabber.ru-ի ադմինիստրատորը, երբ փորձում էր միանալ ծառայությանը, սխալ հաղորդագրություն է ստացել սերտիֆիկատի ժամկետը լրանալու պատճառով, սակայն սերվերում տեղադրված սերտիֆիկատի ժամկետը չի լրացել։ Արդյունքում պարզվեց, որ հաճախորդի ստացած վկայականը տարբերվում է սերվերի կողմից ուղարկված վկայականից։ Առաջին կեղծ TLS վկայականը ստացվել է 18 թվականի ապրիլի 2023-ին Let's Encrypt ծառայության միջոցով, որում հարձակվողը, կարողանալով գաղտնալսել տրաֆիկը, կարողացել է հաստատել մուտքը jabber.ru և xmpp.ru կայքեր:
Սկզբում կար ենթադրություն, որ նախագծի սերվերը վտանգված է, և դրա կողմից փոխարինում է իրականացվում: Բայց աուդիտը հակերության հետքեր չի հայտնաբերել։ Միաժամանակ, սերվերի գրանցամատյանում նկատվել է ցանցային ինտերֆեյսի կարճաժամկետ անջատում և միացում (NIC Link is Down/NIC Link is Up), որը կատարվել է հուլիսի 18-ին ժամը 12:58-ին և կարող էր. նշեք մանիպուլյացիաները սերվերի անջատիչին միացնելու հետ: Հատկանշական է, որ մի քանի րոպե առաջ գեներացվել է երկու կեղծ TLS վկայական՝ հուլիսի 18-ին ժամը 12:49-ին և 12:38-ին:
Բացի այդ, փոխարինումն իրականացվել է ոչ միայն Hetzner պրովայդերի ցանցում, որը հյուրընկալում է հիմնական սերվերը, այլ նաև Linode պրովայդերի ցանցում, որը հյուրընկալել է VPS միջավայրեր օժանդակ պրոքսիներով, որոնք վերահղում են տրաֆիկը այլ հասցեներից: Անուղղակիորեն պարզվել է, որ երթևեկությունը դեպի ցանցային 5222 նավահանգիստ (XMPP STARTTLS) երկու պրովայդերների ցանցերում վերահղվել է լրացուցիչ հոսթի միջոցով, ինչը հիմք է տվել ենթադրելու, որ հարձակումն իրականացվել է պրովայդերների ենթակառուցվածքին հասանելիություն ունեցող անձի կողմից:
Տեսականորեն փոխարինումը կարող էր իրականացվել ապրիլի 18-ից (jabber.ru-ի համար առաջին կեղծ վկայականի ստեղծման ամսաթիվը), սակայն վկայագրի փոխարինման հաստատված դեպքերը գրանցվել են միայն հուլիսի 21-ից հոկտեմբերի 19-ը, այս ամբողջ ընթացքում տվյալների կոդավորված փոխանակումը։ jabber.ru-ի և xmpp.ru-ի հետ կարելի է համարել վտանգված: Փոխարինումը դադարեցվել է հետաքննության սկսվելուց հետո, թեստեր են անցկացվել և հոկտեմբերի 18-ին հարցում է ուղարկվել պրովայդերների Hetzner և Linode աջակցության ծառայությանը: Միևնույն ժամանակ, Լինոդի սերվերներից մեկի 5222 նավահանգիստ ուղարկված փաթեթների երթուղման ժամանակ լրացուցիչ անցում է նկատվում այսօր, սակայն վկայականն այլևս չի փոխարինվում:
Ենթադրվում է, որ հարձակումը կարող էր իրականացվել պրովայդերների իմացությամբ՝ իրավապահ մարմինների խնդրանքով, երկու պրովայդերների ենթակառուցվածքները կոտրելու հետևանքով կամ աշխատողի կողմից, ով մուտք ուներ երկու պրովայդերներին։ Կարողանալով կալանավորել և փոփոխել XMPP տրաֆիկը, հարձակվողը կարող է մուտք գործել հաշվի հետ կապված բոլոր տվյալները, ինչպես օրինակ՝ սերվերում պահվող հաղորդագրությունների պատմությունը, ինչպես նաև կարող է ուղարկել հաղորդագրություններ ուրիշների անունից և փոփոխություններ կատարել այլ մարդկանց հաղորդագրություններում: «End-to-end» գաղտնագրման միջոցով (OMEMO, OTR կամ PGP) ուղարկված հաղորդագրությունները կարող են համարվել չվտանգված, եթե գաղտնագրման բանալիները ստուգված են կապի երկու կողմերում գտնվող օգտատերերի կողմից: Jabber.ru-ի օգտատերերին խորհուրդ է տրվում փոխել մուտքի գաղտնաբառերը և ստուգել OMEMO և PGP ստեղները իրենց PEP պահեստներում հնարավոր փոխարինման համար:
Source: opennet.ru