Jabber サーバー jabber.ru (xmpp.ru) の管理者は、ユーザー トラフィック (MITM) を復号化する攻撃を特定しました。この攻撃は、プロジェクト サーバーと補助 VPS 環境。 この攻撃は、STARTTLS 拡張機能を使用して暗号化された XMPP 接続の TLS 証明書を置き換えるトランジット ノードにトラフィックをリダイレクトすることによって組織されます。
この攻撃は、なりすましに使用された TLS 証明書を更新する時間がなかった主催者のミスにより発見されました。 16 月 18 日、jabber.ru の管理者がサービスに接続しようとしたときに、証明書の期限切れによるエラー メッセージを受け取りましたが、サーバー上にある証明書の期限は切れていませんでした。 その結果、クライアントが受け取った証明書はサーバーから送信された証明書と異なることが判明しました。 最初の偽の TLS 証明書は、2023 年 XNUMX 月 XNUMX 日に Let's Encrypt サービスを通じて取得され、攻撃者はトラフィックを傍受することができ、サイト jabber.ru および xmpp.ru へのアクセスを確認できました。
当初は、プロジェクト サーバーが侵害され、サーバー側で代替が実行されているという想定がありました。 しかし、監査ではハッキングの痕跡は明らかになりませんでした。 同時に、サーバー上のログでは、ネットワーク インターフェイスの短期間のオフとオンの切り替え (NIC リンクがダウン/NIC リンクがアップ) が確認されました。これは 18 月 12 日 58:18 に実行され、サーバーとスイッチの接続に関する操作を示します。 注目に値するのは、その数分前、12 月 49 日の 12:38 と XNUMX:XNUMX に XNUMX つの偽の TLS 証明書が生成されたことです。
さらに、置換は、メイン サーバーをホストする Hetzner プロバイダーのネットワークだけでなく、他のアドレスからのトラフィックをリダイレクトする補助プロキシを備えた VPS 環境をホストする Linode プロバイダーのネットワークでも実行されました。 間接的には、両方のプロバイダーのネットワーク内のネットワーク ポート 5222 (XMPP STARTTLS) へのトラフィックが追加のホストを介してリダイレクトされていることが判明しました。これにより、プロバイダーのインフラストラクチャにアクセスできる人物によって攻撃が実行されたと考える理由が得られました。
理論的には、置き換えは 18 月 21 日 (jabber.ru の最初の偽の証明書が作成された日) から実行された可能性がありますが、証明書の置き換えが確認されたのは 19 月 18 日から 5222 月 XNUMX 日までのみで、この間ずっと暗号化されたデータ交換が行われていました。 jabber.ru および xmpp.ru は侵害されていると考えられます。 調査が開始され、テストが実施され、XNUMX 月 XNUMX 日にプロバイダーの Hetzner と Linode のサポート サービスにリクエストが送信された後、代替は停止されました。 同時に、Linode のサーバーの XNUMX つのポート XNUMX に送信されたパケットをルーティングする際の追加の遷移が現在も観察されていますが、証明書は置き換えられなくなりました。
この攻撃は、両プロバイダーのインフラストラクチャをハッキングした結果、または両方のプロバイダーにアクセスできる従業員によって、法執行機関の要請に応じてプロバイダーの知識を得て実行された可能性があると考えられています。 XMPP トラフィックを傍受して変更できるため、攻撃者はサーバーに保存されているメッセージング履歴などのすべてのアカウント関連データにアクセスできるようになり、他人に代わってメッセージを送信したり、他人のメッセージを変更したりすることもできます。 エンドツーエンド暗号化 (OMEMO、OTR、または PGP) を使用して送信されたメッセージは、接続の両側のユーザーによって暗号化キーが検証された場合、侵害されていないと見なされます。 Jabber.ru ユーザーは、アクセス パスワードを変更し、PEP ストレージ内の OMEMO キーと PGP キーを確認して、置き換えられる可能性があるかどうかを確認することをお勧めします。
出所: オープンネット.ru