Den Administrateur vum Jabber-Server jabber.ru (xmpp.ru) identifizéiert en Attack fir de Benotzerverkéier (MITM) ze entschlësselen, deen iwwer eng Period vun 90 Deeg bis 6 Méint an den Netzwierker vun den däitsche Hosting-Provider Hetzner a Linode gehost huet, Projet Server an Auxiliary VPS Ëmfeld. D'Attack gëtt organiséiert andeems de Traffic op en Transitknot ëmgeleet gëtt, deen den TLS-Zertifikat fir XMPP-Verbindungen ersetzt, verschlësselt mat der STARTTLS-Extensioun.
D'Attack gouf bemierkt wéinst engem Feeler vun hiren Organisateuren, déi keng Zäit haten den TLS Zertifikat ze erneieren, dee fir de Spoofing benotzt gouf. De 16. Oktober krut den Administrateur vu jabber.ru, wann Dir probéiert mam Service ze verbannen, eng Fehlermeldung wéinst dem Oflaf vum Zertifika, awer de Certificat deen um Server läit war net ofgelaf. Als Resultat huet et sech erausgestallt datt den Zertifika deen de Client kritt huet anescht war wéi de Certificat vum Server geschéckt. Den éischte gefälschte TLS Zertifika gouf den 18. Abrëll 2023 duerch de Let's Encrypt Service kritt, an deem den Ugräifer, deen den Traffic offangen konnt, den Zougang zu de Site jabber.ru an xmpp.ru bestätegen.
Am Ufank war et eng Virgab datt de Projet Server kompromittéiert gouf an eng Substitutioun op senger Säit duerchgefouert gouf. Awer den Audit huet keng Spuere vum Hacking opgedeckt. Gläichzäiteg gouf am Logbuch um Server e kuerzfristeg Aus- an Anschalten vun der Netzwierkinterface (NIC Link is Down/NIC Link is Up) gemierkt, wat den 18. Juli um 12:58 Auer gemaach gouf a konnt Manipulatiounen mat der Verbindung vum Server zum Schalter uginn. Et ass bemierkenswäert datt zwee gefälschte TLS Certificaten e puer Minutten virdrun generéiert goufen - den 18. Juli um 12:49 an 12:38.
Zousätzlech gouf d'Substitutioun net nëmmen am Netz vum Hetzner Provider duerchgefouert, deen den Haaptserver hält, awer och am Netz vum Linode Provider, deen VPS-Ëmfeld mat Hëllefsproxyen gehost huet, déi den Traffic vun aneren Adressen redirectéieren. Indirekt gouf festgestallt, datt de Verkéier op den Netzhafen 5222 (XMPP STARTTLS) an den Netzwierker vu béide Provider duerch en zousätzleche Host ëmgeleet gouf, wat d'Ursaach huet ze gleewen datt d'Attack vun enger Persoun mat Zougang zu den Infrastrukturen vun de Provider duerchgefouert gouf.
Theoretesch kéint d'Substitutioun vum 18. Abrëll ausgefouert ginn (den Datum vun der Schafung vum éischte gefälschte Certificat fir jabber.ru), awer bestätegt Fäll vun der Zertifikatsubstitutioun goufen eréischt vum 21. Juli bis den 19. Oktober opgeholl, all dës Zäit verschlësselte Datenaustausch mat jabber.ru an xmpp.ru kann als kompromittéiert considéréiert ginn. D'Substitutioun huet gestoppt nodeems d'Enquête ugefaang huet, Tester goufen duerchgefouert an eng Demande gouf den 18. Oktober un den Supportdéngscht vun den Ubidder Hetzner a Linode geschéckt. Zur selwechter Zäit gëtt en zousätzlechen Iwwergang beim Routing vu Pakete, déi op den Hafen 5222 vun engem vun de Serveren an Linode geschéckt ginn, haut nach beobachtet, awer den Zertifika gëtt net méi ersat.
Et gëtt ugeholl datt d'Attack mat Wësse vun de Fournisseuren op Ufro vun Affekoten duerchgefouert ka ginn, als Resultat vum Hacking vun den Infrastrukturen vu béide Provider oder vun engem Employé deen Zougang zu béide Provider hat. Andeems hien XMPP Traffic offangen an änneren kann, konnt den Ugräifer Zougang zu all Kont-relatéierten Donnéeën kréien, sou wéi d'Messagegeschicht, déi um Server gespäichert ass, a konnt och Messagen am Numm vun aneren schécken an Ännerunge vun anere Leit hir Messagen maachen. Messagen, déi mat Enn-zu-Enn Verschlësselung geschéckt ginn (OMEMO, OTR oder PGP) kënnen als net kompromittéiert ugesi ginn, wann d'Verschlësselungsschlëssel vun de Benotzer op béide Säiten vun der Verbindung verifizéiert ginn. Jabber.ru Benotzer ginn ugeroden hir Zougangspasswierder z'änneren an d'OMEMO- a PGP-Schlësselen an hire PEP-Späichere fir méiglech Ersatz ze kontrolléieren.
Source: opennet.ru