Administratorul serverului Jabber jabber.ru (xmpp.ru) a identificat un atac de decriptare a traficului utilizatorilor (MITM), efectuat pe o perioadă de la 90 de zile până la 6 luni în rețelele furnizorilor germani de găzduire Hetzner și Linode, care găzduiesc server de proiect și VPS auxiliar.mediu. Atacul este organizat prin redirecționarea traficului către un nod de tranzit care înlocuiește certificatul TLS pentru conexiunile XMPP criptate folosind extensia STARTTLS.
Atacul a fost observat din cauza unei erori a organizatorilor săi, care nu au avut timp să reînnoiască certificatul TLS folosit pentru spoofing. Pe 16 octombrie, administratorul jabber.ru, când a încercat să se conecteze la serviciu, a primit un mesaj de eroare din cauza expirării certificatului, dar certificatul aflat pe server nu a expirat. Ca urmare, s-a dovedit că certificatul primit de client era diferit de certificatul trimis de server. Primul certificat TLS fals a fost obținut pe 18 aprilie 2023 prin serviciul Let's Encrypt, în care atacatorul, putând intercepta traficul, a putut confirma accesul la site-urile jabber.ru și xmpp.ru.
La început, s-a presupus că serverul de proiect a fost compromis și că se efectuează o înlocuire din partea sa. Dar auditul nu a scos la iveală nicio urmă de hacking. Totodată, în jurnalul de pe server a fost observată o oprire și pornire pe termen scurt a interfeței de rețea (NIC Link is Down/NIC Link is Up), care a fost efectuată pe 18 iulie la ora 12:58 și ar putea indica manipulări cu conexiunea serverului la comutator. Este de remarcat faptul că două certificate TLS false au fost generate cu câteva minute mai devreme - pe 18 iulie la 12:49 și 12:38.
În plus, înlocuirea a fost efectuată nu numai în rețeaua furnizorului Hetzner, care găzduiește serverul principal, ci și în rețeaua furnizorului Linode, care găzduia medii VPS cu proxy-uri auxiliare care redirecționează traficul de la alte adrese. Indirect, s-a constatat că traficul către portul de rețea 5222 (XMPP STARTTLS) din rețelele ambilor furnizori a fost redirecționat printr-o gazdă suplimentară, ceea ce a dat motive să se creadă că atacul a fost efectuat de o persoană cu acces la infrastructura furnizorilor.
Teoretic, înlocuirea ar fi putut fi efectuată din 18 aprilie (data creării primului certificat fals pentru jabber.ru), dar cazuri confirmate de înlocuire a certificatelor au fost înregistrate doar în perioada 21 iulie – 19 octombrie, în tot acest timp schimb de date criptat. cu jabber.ru și xmpp.ru poate fi considerat compromis . Înlocuirea a încetat după ce a început ancheta, au fost efectuate teste și a fost trimisă o solicitare către serviciul de asistență al furnizorilor Hetzner și Linode pe 18 octombrie. În același timp, o tranziție suplimentară la rutarea pachetelor trimise către portul 5222 al unuia dintre serverele din Linode este încă observată astăzi, dar certificatul nu mai este înlocuit.
Se presupune că atacul ar fi putut fi efectuat cu cunoştinţa furnizorilor la solicitarea organelor de drept, ca urmare a spargerii infrastructurilor ambilor furnizori, sau de către un angajat care a avut acces la ambii furnizori. Fiind capabil să intercepteze și să modifice traficul XMPP, atacatorul ar putea obține acces la toate datele legate de cont, cum ar fi istoricul de mesagerie stocat pe server și ar putea, de asemenea, să trimită mesaje în numele altora și să facă modificări la mesajele altor persoane. Mesajele trimise folosind criptarea end-to-end (OMEMO, OTR sau PGP) pot fi considerate nefiind compromise dacă cheile de criptare sunt verificate de utilizatori de ambele părți ale conexiunii. Utilizatorii Jabber.ru sunt sfătuiți să-și schimbe parolele de acces și să verifice cheile OMEMO și PGP din depozitele lor PEP pentru o posibilă înlocuire.
Sursa: opennet.ru