Onderschepping van TLS-verbindingen met encryptie van het instant messaging-protocol XMPP (Jabber) (Man-in-the-Middle-aanval) werd gedetecteerd op de servers van de dienst jabber.ru (ook bekend als xmpp.ru) op hostingproviders Hetzner en Linode in Duitsland .
De aanvaller heeft verschillende nieuwe TLS-certificaten uitgegeven met behulp van de Let's Encrypt-service, die werden gebruikt om gecodeerde STARTTLS-verbindingen op poort 5222 te onderscheppen met behulp van een transparante MiTM-proxy. De aanval werd ontdekt vanwege het verlopen van een van de MiTM-certificaten, die niet opnieuw werd uitgegeven.
In het netwerksegment werden geen tekenen van serverhacking of spoofing-aanvallen gevonden; integendeel: de verkeersomleiding was geconfigureerd in het netwerk van de hostingprovider.
Bron: linux.org.ru