Jabber serverio jabber.ru (xmpp.ru) administratorius nustatė ataką, skirtą iššifruoti vartotojų srautą (MITM), įvykdytą nuo 90 dienų iki 6 mėnesių Vokietijos prieglobos paslaugų teikėjų „Hetzner“ ir „Linode“, kuriuose yra priegloba projekto serveris ir pagalbinė VPS aplinka. Ataka organizuojama nukreipiant srautą į tranzito mazgą, kuris pakeičia TLS sertifikatą XMPP ryšiams, užšifruotiems naudojant STARTTLS plėtinį.
Ataką dėl klaidos pastebėjo jos organizatoriai, nespėję atnaujinti klastojimui naudoto TLS sertifikato. Spalio 16 d., jabber.ru administratorius, bandydamas prisijungti prie paslaugos, gavo klaidos pranešimą dėl sertifikato galiojimo pabaigos, tačiau serveryje esančio sertifikato galiojimo laikas nebuvo pasibaigęs. Dėl to paaiškėjo, kad kliento gautas sertifikatas skiriasi nuo serverio išsiųsto sertifikato. Pirmasis netikras TLS sertifikatas buvo gautas 18 m. balandžio 2023 d. per paslaugą „Encrypt“, kurioje užpuolikas, galėdamas perimti srautą, galėjo patvirtinti prieigą prie svetainių jabber.ru ir xmpp.ru.
Iš pradžių buvo daroma prielaida, kad projekto serveris buvo pažeistas ir jo pusėje buvo atliktas pakeitimas. Tačiau auditas neatskleidė įsilaužimo pėdsakų. Tuo pat metu serverio žurnale buvo pastebėtas trumpalaikis tinklo sąsajos išjungimas ir įjungimas (NIC Link is Down/NIC Link is Up), kuris buvo atliktas liepos 18 d. 12:58 ir galėjo nurodyti manipuliacijas su serverio prijungimu prie jungiklio. Pastebėtina, kad keliomis minutėmis anksčiau buvo sugeneruoti du netikri TLS sertifikatai – liepos 18 dieną 12:49 ir 12:38.
Be to, pakeitimas buvo atliktas ne tik „Hetzner“ tiekėjo tinkle, kuriame yra pagrindinis serveris, bet ir „Linode“ tiekėjo tinkle, kuris talpino VPS aplinkas su pagalbiniais tarpiniais serveriais, nukreipiančiais srautą iš kitų adresų. Netiesiogiai buvo nustatyta, kad srautas į tinklo prievadą 5222 (XMPP STARTTLS) abiejų tiekėjų tinkluose buvo nukreiptas per papildomą prieglobą, kas leido manyti, kad ataką įvykdė asmuo, turintis prieigą prie tiekėjų infrastruktūros.
Teoriškai pakeitimas galėjo būti atliktas nuo balandžio 18 d. (pirmojo netikro sertifikato jabber.ru sukūrimo data), tačiau patvirtinti sertifikato keitimo atvejai užfiksuoti tik nuo liepos 21 d. iki spalio 19 d., visą šį laiką keičiantis šifruotais duomenimis. su jabber.ru ir xmpp.ru gali būti laikomi pažeistais. Pradėjus tyrimą, pakeitimas buvo sustabdytas, atlikti bandymai ir spalio 18 d. išsiųstas prašymas tiekėjų „Hetzner“ ir „Linode“ palaikymo tarnybai. Tuo pačiu metu ir šiandien stebimas papildomas perėjimas nukreipiant paketus, siunčiamus į vieno iš Linodės serverių 5222 prievadą, tačiau sertifikatas nebepakeičiamas.
Spėjama, kad ataka galėjo būti įvykdyta žinant tiekėjams teisėsaugos institucijų prašymu, įsilaužus į abiejų teikėjų infrastruktūras arba darbuotojo, kuris turėjo prieigą prie abiejų teikėjų. Galėdamas perimti ir modifikuoti XMPP srautą, užpuolikas gali gauti prieigą prie visų su paskyra susijusių duomenų, pvz., serveryje saugomos pranešimų istorijos, taip pat siųsti pranešimus kitų vardu ir keisti kitų žmonių pranešimus. Pranešimai, siunčiami naudojant tiesioginį šifravimą (OMEMO, OTR arba PGP), gali būti laikomi nepažeidžiančiais, jei šifravimo raktus patikrina vartotojai abiejose ryšio pusėse. Jabber.ru naudotojams patariama pakeisti prieigos slaptažodžius ir patikrinti PEP saugyklose esančius OMEMO ir PGP raktus, ar jie gali būti pakeisti.
Šaltinis: opennet.ru