Pentadbir pelayan Jabber jabber.ru (xmpp.ru) mengenal pasti serangan untuk menyahsulit lalu lintas pengguna (MITM), yang dilakukan dalam tempoh 90 hari hingga 6 bulan dalam rangkaian penyedia pengehosan Jerman Hetzner dan Linode, yang menjadi tuan rumah pelayan projek dan persekitaran VPS tambahan. Serangan itu diatur dengan mengubah hala trafik ke nod transit yang menggantikan sijil TLS untuk sambungan XMPP yang disulitkan menggunakan sambungan STARTTLS.
Serangan itu disedari kerana ralat oleh penganjurnya, yang tidak sempat memperbaharui sijil TLS yang digunakan untuk penipuan. Pada 16 Oktober, pentadbir jabber.ru, apabila cuba menyambung ke perkhidmatan, menerima mesej ralat kerana tamat tempoh sijil, tetapi sijil yang terletak di pelayan tidak tamat tempoh. Hasilnya, ternyata sijil yang diterima klien berbeza dengan sijil yang dihantar oleh pelayan. Sijil TLS palsu pertama diperoleh pada 18 April 2023 melalui perkhidmatan Let's Encrypt, di mana penyerang, yang dapat memintas lalu lintas, dapat mengesahkan akses ke tapak jabber.ru dan xmpp.ru.
Pada mulanya, terdapat andaian bahawa pelayan projek telah dikompromi dan penggantian sedang dijalankan di sebelahnya. Tetapi audit tidak mendedahkan sebarang kesan penggodaman. Pada masa yang sama, dalam log pada pelayan, pematikan dan penghidupan jangka pendek antara muka rangkaian (NIC Link is Down/NIC Link is Up) telah diperhatikan, yang dilakukan pada 18 Julai pada 12:58 dan boleh menunjukkan manipulasi dengan sambungan pelayan ke suis. Perlu diperhatikan bahawa dua sijil TLS palsu telah dijana beberapa minit lebih awal - pada 18 Julai pada 12:49 dan 12:38.
Di samping itu, penggantian dilakukan bukan sahaja dalam rangkaian penyedia Hetzner, yang menjadi tuan rumah pelayan utama, tetapi juga dalam rangkaian penyedia Linode, yang menjadi tuan rumah persekitaran VPS dengan proksi tambahan yang mengubah hala lalu lintas dari alamat lain. Secara tidak langsung, didapati bahawa trafik ke port rangkaian 5222 (XMPP STARTTLS) dalam rangkaian kedua-dua pembekal telah diubah hala melalui hos tambahan, yang memberi sebab untuk mempercayai bahawa serangan itu dilakukan oleh seseorang yang mempunyai akses kepada infrastruktur penyedia.
Secara teorinya, penggantian boleh dilakukan dari 18 April (tarikh penciptaan sijil palsu pertama untuk jabber.ru), tetapi kes-kes penggantian sijil yang disahkan hanya direkodkan dari 21 Julai hingga 19 Oktober, selama ini pertukaran data yang disulitkan. dengan jabber.ru dan xmpp.ru boleh dianggap terjejas . Penggantian dihentikan selepas penyiasatan bermula, ujian telah dijalankan dan permintaan telah dihantar kepada perkhidmatan sokongan penyedia Hetzner dan Linode pada 18 Oktober. Pada masa yang sama, peralihan tambahan apabila penghalaan paket yang dihantar ke port 5222 salah satu pelayan dalam Linode masih diperhatikan hari ini, tetapi sijil tidak lagi diganti.
Diandaikan bahawa serangan itu boleh dilakukan dengan pengetahuan penyedia atas permintaan agensi penguatkuasa undang-undang, akibat daripada menggodam infrastruktur kedua-dua penyedia, atau oleh pekerja yang mempunyai akses kepada kedua-dua penyedia. Dengan dapat memintas dan mengubah suai trafik XMPP, penyerang boleh mendapat akses kepada semua data berkaitan akaun, seperti sejarah pemesejan yang disimpan pada pelayan, dan juga boleh menghantar mesej bagi pihak orang lain dan membuat perubahan pada mesej orang lain. Mesej yang dihantar menggunakan penyulitan hujung ke hujung (OMEMO, OTR atau PGP) boleh dianggap tidak terjejas jika kunci penyulitan disahkan oleh pengguna di kedua-dua belah sambungan. Pengguna Jabber.ru dinasihatkan untuk menukar kata laluan akses mereka dan menyemak kekunci OMEMO dan PGP dalam storan PEP mereka untuk kemungkinan penggantian.
Sumber: opennet.ru