L-amministratur tas-server Jabber jabber.ru (xmpp.ru) identifika attakk biex jiddeċifra t-traffiku tal-utenti (MITM), li sar fuq perjodu ta’ 90 jum sa 6 xhur fin-netwerks tal-fornituri ta’ hosting Ġermaniżi Hetzner u Linode, li jospitaw il- server tal-proġett u VPS awżiljarju.ambjent. L-attakk huwa organizzat billi t-traffiku jidderieġi mill-ġdid lejn nodu ta' transitu li jissostitwixxi ċ-ċertifikat TLS għal konnessjonijiet XMPP encrypted bl-użu tal-estensjoni STARTTLS.
L-attakk ġie nnutat minħabba żball mill-organizzaturi tiegħu, li ma kellhomx ħin biex iġeddu ċ-ċertifikat TLS użat għall-ispoofing. Fis-16 ta 'Ottubru, l-amministratur ta' jabber.ru, meta pprova jgħaqqad mas-servizz, irċieva messaġġ ta 'żball minħabba l-iskadenza taċ-ċertifikat, iżda ċ-ċertifikat li jinsab fuq is-server ma kienx skada. Bħala riżultat, irriżulta li ċ-ċertifikat li l-klijent irċieva kien differenti miċ-ċertifikat mibgħut mis-server. L-ewwel ċertifikat TLS falz inkiseb fit-18 ta’ April 2023 permezz tas-servizz Let’s Encrypt, li fih l-attakkant, li seta’ jinterċetta t-traffiku, seta’ jikkonferma l-aċċess għas-siti jabber.ru u xmpp.ru.
Għall-ewwel, kien hemm suppożizzjoni li s-server tal-proġett kien ġie kompromess u kienet qed titwettaq sostituzzjoni min-naħa tiegħu. Iżda l-verifika ma żvelat l-ebda traċċi ta 'hacking. Fl-istess ħin, fil-log fuq is-server, ġie nnutat tifi u tixgħel għal żmien qasir tal-interface tan-netwerk (NIC Link is Down/NIC Link is Up), li twettqet fit-18 ta' Lulju f'12:58 u setgħet. indika manipulazzjonijiet bil-konnessjoni tas-server mal-iswiċċ. Ta 'min jinnota li żewġ ċertifikati TLS foloz ġew iġġenerati ftit minuti qabel - fit-18 ta' Lulju f'12:49 u 12:38.
Barra minn hekk, is-sostituzzjoni twettqet mhux biss fin-netwerk tal-fornitur Hetzner, li jospita s-server prinċipali, iżda wkoll fin-netwerk tal-fornitur Linode, li ospita ambjenti VPS bi prokuri awżiljarji li jidderieġu mill-ġdid it-traffiku minn indirizzi oħra. Indirettament, instab li t-traffiku lejn il-port tan-netwerk 5222 (XMPP STARTTLS) fin-netwerks taż-żewġ fornituri ġie ridirett permezz ta’ host addizzjonali, li ta raġuni biex wieħed jemmen li l-attakk twettaq minn persuna b’aċċess għall-infrastruttura tal-fornituri.
Teoretikament, is-sostituzzjoni setgħet twettqet mit-18 ta’ April (id-data tal-ħolqien tal-ewwel ċertifikat falz għal jabber.ru), iżda każijiet ikkonfermati ta’ sostituzzjoni taċ-ċertifikat ġew irreġistrati biss mill-21 ta’ Lulju sad-19 ta’ Ottubru, dan iż-żmien kollu skambju ta’ data kriptat ma jabber.ru u xmpp.ru jistgħu jitqiesu kompromessi . Is-sostituzzjoni waqfet wara li bdiet l-investigazzjoni, saru testijiet u ntbagħtet talba lis-servizz ta’ appoġġ tal-fornituri Hetzner u Linode fit-18 ta’ Ottubru. Fl-istess ħin, tranżizzjoni addizzjonali meta jintbagħtu pakketti tar-rotot fil-port 5222 ta 'wieħed mis-servers f'Linode għadha osservata llum, iżda ċ-ċertifikat m'għadux mibdul.
Huwa preżunt li l-attakk seta’ sar bl-għarfien tal-fornituri fuq talba tal-aġenziji tal-infurzar tal-liġi, bħala riżultat tal-hacking tal-infrastrutturi taż-żewġ fornituri, jew minn impjegat li kellu aċċess għaż-żewġ fornituri. Billi jkun jista 'jinterċetta u jimmodifika t-traffiku XMPP, l-attakkant jista' jikseb aċċess għad-dejta kollha relatata mal-kont, bħall-istorja tal-messaġġi maħżuna fuq is-server, u jista 'wkoll jibgħat messaġġi f'isem ħaddieħor u jagħmel bidliet fil-messaġġi ta' nies oħra. Messaġġi mibgħuta bl-użu ta' kriptaġġ minn tarf sa tarf (OMEMO, OTR jew PGP) jistgħu jitqiesu mhux kompromessi jekk iċ-ċwievet tal-kodifikazzjoni jiġu vverifikati mill-utenti fuq iż-żewġ naħat tal-konnessjoni. L-utenti ta’ Jabber.ru huma avżati biex ibiddlu l-passwords ta’ aċċess tagħhom u jiċċekkjaw iċ-ċwievet OMEMO u PGP fil-ħażniet PEP tagħhom għal sostituzzjoni possibbli.
Sors: opennet.ru