Administrator server Jabber jabber.ru (xmpp.ru) ngenali serangan kanggo dekripsi lalu lintas pangguna (MITM), sing ditindakake sajrone 90 dina nganti 6 wulan ing jaringan panyedhiya hosting Jerman Hetzner lan Linode, sing dadi tuan rumah. server proyek lan lingkungan VPS tambahan. Serangan kasebut diatur kanthi ngarahake lalu lintas menyang simpul transit sing ngganti sertifikat TLS kanggo sambungan XMPP sing dienkripsi nggunakake ekstensi STARTTLS.
Serangan kasebut diweruhi amarga kesalahan dening panitia, sing ora duwe wektu kanggo nganyari sertifikat TLS sing digunakake kanggo spoofing. Tanggal 16 Oktober, administrator jabber.ru, nalika nyoba nyambung menyang layanan kasebut, nampa pesen kesalahan amarga sertifikat kadaluwarsa, nanging sertifikat sing ana ing server durung kadaluwarsa. AkibatΓ©, ternyata sertifikat sing ditampa klien beda karo sertifikat sing dikirim dening server. Sertifikat TLS palsu pisanan dipikolehi tanggal 18 April 2023 liwat layanan Ayo Encrypt, ing ngendi panyerang, bisa nyegat lalu lintas, bisa ngonfirmasi akses menyang situs jabber.ru lan xmpp.ru.
Ing wiwitan, ana asumsi yen server proyek wis dikompromi lan substitusi ditindakake ing sisihe. Nanging audit kasebut ora nuduhake jejak hacking. Ing wektu sing padha, ing log ing server, mateni lan nguripake antarmuka jaringan jangka pendek (NIC Link Down / NIC Link is Up) ditemokake, sing ditindakake tanggal 18 Juli ing 12:58 lan bisa uga. nuduhake manipulasi karo sambungan saka server kanggo ngalih. Wigati dicathet yen rong sertifikat TLS palsu digawe sawetara menit sadurunge - tanggal 18 Juli ing 12:49 lan 12:38.
Kajaba iku, substitusi kasebut ditindakake ora mung ing jaringan panyedhiya Hetzner, sing dadi tuan rumah server utama, nanging uga ing jaringan panyedhiya Linode, sing dadi tuan rumah lingkungan VPS kanthi proxy tambahan sing ngarahake lalu lintas saka alamat liya. Secara ora langsung, ditemokake yen lalu lintas menyang port jaringan 5222 (XMPP STARTTLS) ing jaringan loro panyedhiya dialihake liwat host tambahan, sing menehi alesan kanggo percaya yen serangan kasebut ditindakake dening wong sing nduweni akses menyang infrastruktur panyedhiya.
Secara teoritis, substitusi bisa ditindakake wiwit 18 April (tanggal nggawe sertifikat palsu pisanan kanggo jabber.ru), nanging kasus sing dikonfirmasi saka substitusi sertifikat dicathet mung saka 21 Juli nganti 19 Oktober, kabeh wektu iki ijol-ijolan data ndhelik. karo jabber.ru lan xmpp.ru bisa dianggep kompromi. Penggantian mandheg sawise investigasi diwiwiti, tes ditindakake lan panjaluk dikirim menyang layanan dhukungan saka panyedhiya Hetzner lan Linode tanggal 18 Oktober. Ing wektu sing padha, transisi tambahan nalika nuntun paket dikirim menyang port 5222 salah siji saka server ing Linode isih diamati dina, nanging certificate wis ora diganti maneh.
Dianggep manawa serangan kasebut bisa ditindakake kanthi kawruh saka panyedhiya kanthi panjaluk saka lembaga penegak hukum, minangka akibat saka hacking infrastruktur loro panyedhiya, utawa dening karyawan sing nduweni akses menyang loro panyedhiya. Kanthi bisa nyegat lan ngowahi lalu lintas XMPP, panyerang bisa entuk akses menyang kabeh data sing gegandhengan karo akun, kayata riwayat olahpesen sing disimpen ing server, lan uga bisa ngirim pesen atas jenenge wong liya lan nggawe owah-owahan ing pesen wong liya. Pesen sing dikirim nggunakake enkripsi end-to-end (OMEMO, OTR utawa PGP) bisa dianggep ora kompromi yen tombol enkripsi wis diverifikasi dening pangguna ing loro-lorone sambungan. Pangguna Jabber.ru disaranake ngganti sandhi akses lan mriksa tombol OMEMO lan PGP ing panyimpenan PEP kanggo bisa ngganti.
Source: opennet.ru