Administrator server Jabber jabber.ru (xmpp.ru) ngenali serangan kanggo dekripsi lalu lintas pangguna (MITM), sing ditindakake sajrone 90 dina nganti 6 wulan ing jaringan panyedhiya hosting Jerman Hetzner lan Linode, sing dadi tuan rumah. server proyek lan lingkungan VPS tambahan. Serangan kasebut diatur kanthi ngarahake lalu lintas menyang simpul transit sing ngganti sertifikat TLS kanggo sambungan XMPP sing dienkripsi nggunakake ekstensi STARTTLS.
Serangan iki dideteksi amarga ana kesalahan saka panitia, sing gagal nganyari sertifikat TLS sing digunakake kanggo spoofing. Tanggal 16 Oktober, administrator jabber.ru nampa pesen kesalahan babagan sertifikat sing kadaluwarsa nalika nyoba nyambung menyang layanan kasebut, nanging sertifikat sing di-host ing server durung kadaluwarsa. Akhire ditemokake yen sertifikat sing ditampa dening klien beda karo sing dikirim dening server. Palsu sing pertama Sertifikat TLS dijupuk tanggal 18 April 2023, liwat layanan Let's Encrypt, ing ngendi penyerang, sing nduweni kemampuan kanggo nyegat lalu lintas, bisa ngonfirmasi akses menyang situs jabber.ru lan xmpp.ru.
Ing wiwitan, ana asumsi yen server proyek wis dikompromi lan substitusi ditindakake ing sisihe. Nanging audit kasebut ora nuduhake jejak hacking. Ing wektu sing padha, ing log ing server, mateni lan nguripake antarmuka jaringan jangka pendek (NIC Link Down / NIC Link is Up) ditemokake, sing ditindakake tanggal 18 Juli ing 12:58 lan bisa uga. nuduhake manipulasi karo sambungan saka server kanggo ngalih. Wigati dicathet yen rong sertifikat TLS palsu digawe sawetara menit sadurunge - tanggal 18 Juli ing 12:49 lan 12:38.
Kajaba iku, substitusi kasebut ditindakake ora mung ing jaringan panyedhiya Hetzner, sing dadi tuan rumah server utama, nanging uga ing jaringan panyedhiya Linode, sing dadi tuan rumah lingkungan VPS kanthi proxy tambahan sing ngarahake lalu lintas saka alamat liya. Secara ora langsung, ditemokake yen lalu lintas menyang port jaringan 5222 (XMPP STARTTLS) ing jaringan loro panyedhiya dialihake liwat host tambahan, sing menehi alesan kanggo percaya yen serangan kasebut ditindakake dening wong sing nduweni akses menyang infrastruktur panyedhiya.
Sacara téoritis, substitusi iki bisa uga wis kedadeyan wiwit tanggal 18 April (tanggal sertifikat palsu pisanan kanggo jabber.ru digawe), nanging kasus substitusi sertifikat sing wis dikonfirmasi mung dicathet antara tanggal 21 Juli lan 19 Oktober. Sajrone periode iki, ijol-ijolan data sing dienkripsi karo jabber.ru lan xmpp.ru bisa dianggep wis disusupi. Substitusi iki mandheg sawise investigasi diwiwiti, tes ditindakake, lan panjaluk dikirim menyang layanan dhukungan panyedhiya Hetzner lan Linode tanggal 18 Oktober. Kajaba iku, hop tambahan dibutuhake nalika routing paket dikirim menyang port 5222 saka salah sawijining. server ing Linode, isih diamati nganti saiki, nanging sertifikat kasebut ora diganti maneh.
Dianggep manawa serangan kasebut bisa ditindakake kanthi kawruh saka panyedhiya kanthi panjaluk saka lembaga penegak hukum, minangka akibat saka hacking infrastruktur loro panyedhiya, utawa dening karyawan sing nduweni akses menyang loro panyedhiya. Kanthi bisa nyegat lan ngowahi lalu lintas XMPP, panyerang bisa entuk akses menyang kabeh data sing gegandhengan karo akun, kayata riwayat olahpesen sing disimpen ing server, lan uga bisa ngirim pesen atas jenenge wong liya lan nggawe owah-owahan ing pesen wong liya. Pesen sing dikirim nggunakake enkripsi end-to-end (OMEMO, OTR utawa PGP) bisa dianggep ora kompromi yen tombol enkripsi wis diverifikasi dening pangguna ing loro-lorone sambungan. Pangguna Jabber.ru disaranake ngganti sandhi akses lan mriksa tombol OMEMO lan PGP ing panyimpenan PEP kanggo bisa ngganti.
Source: opennet.ru
