جابر سرور جي ايڊمنسٽريٽر jabber.ru (xmpp.ru) هڪ حملي جي نشاندهي ڪئي صارف ٽرئفڪ (MITM) کي ختم ڪرڻ لاءِ، جيڪو 90 ڏينهن کان 6 مهينن جي عرصي دوران جرمن هوسٽنگ فراهم ڪندڙ Hetzner ۽ Linode جي نيٽ ورڪن ۾ ڪيو ويو. پروجيڪٽ سرور ۽ معاون VPS ماحول. حملي کي ٽرانزٽ نوڊ ڏانهن ٽريفڪ کي ريڊائريڪٽ ڪندي منظم ڪيو ويو آهي جيڪو STARTTLS ايڪسٽينشن کي استعمال ڪندي اينڪرپٽ ٿيل XMPP ڪنيڪشن لاءِ TLS سرٽيفڪيٽ کي تبديل ڪري ٿو.
حملي کي ان جي منتظمين پاران هڪ غلطي جي ڪري محسوس ڪيو ويو، جن وٽ وقت نه هو TLS سرٽيفڪيٽ کي تجديد ڪرڻ لاء استعمال ڪيو ويو اسپفنگ لاء. 16 آڪٽوبر تي، jabber.ru جي منتظم، جڏهن خدمت سان ڳنڍڻ جي ڪوشش ڪئي، سرٽيفڪيٽ جي ختم ٿيڻ جي ڪري هڪ غلطي پيغام ملي، پر سرور تي موجود سرٽيفڪيٽ ختم نه ٿيو. نتيجي طور، اهو ظاهر ٿيو ته ڪلائنٽ حاصل ڪيل سرٽيفڪيٽ سرور پاران موڪليل سرٽيفڪيٽ کان مختلف هئي. پهريون جعلي TLS سرٽيفڪيٽ 18 اپريل 2023 تي Let's Encrypt سروس ذريعي حاصل ڪيو ويو، جنهن ۾ حملو ڪندڙ، ٽرئفڪ کي روڪڻ جي قابل ٿي، سائيٽن تائين رسائي جي تصديق ڪرڻ جي قابل هو jabber.ru ۽ xmpp.ru.
شروعات ۾، اتي هڪ فرض هو ته پروجيڪٽ سرور سمجهي ويو آهي ۽ هڪ متبادل ان جي پاسي تي ڪيو پيو وڃي. پر آڊٽ هيڪنگ جا ڪي به نشان ظاهر نه ڪيا. ساڳئي وقت، سرور تي لاگ ان ۾، نيٽ ورڪ انٽرفيس (NIC Link is Down/NIC Link is Up) جي هڪ مختصر مدت جي سوئچنگ آف ۽ آن کي نوٽ ڪيو ويو، جيڪو 18 جولاءِ تي 12:58 تي ڪيو ويو ۽ ٿي سگهي ٿو. سوئچ کي سرور جي ڪنيڪشن سان manipulations جي نشاندهي ڪريو. اهو قابل ذڪر آهي ته ٻه جعلي TLS سرٽيفڪيٽ ڪجهه منٽ اڳ ٺاهيا ويا - 18 جولاء تي 12:49 ۽ 12:38 تي.
ان کان علاوه، متبادل صرف نه صرف Hetzner فراهم ڪندڙ جي نيٽ ورڪ ۾ ڪيو ويو، جيڪو مکيه سرور کي ميزباني ڪري ٿو، پر لينوڊ فراهم ڪندڙ جي نيٽ ورڪ ۾ پڻ، جيڪو VPS ماحول کي معاون پراکسيز سان ميزباني ڪري ٿو جيڪو ٻين پتي کان ٽرئفڪ کي ريڊريٽ ڪري ٿو. اڻ سڌي طرح، اهو مليو هو ته نيٽ ورڪ پورٽ 5222 (XMPP STARTTLS) ڏانهن ٽرئفڪ ٻنهي مهيا ڪندڙن جي نيٽ ورڪن ۾ هڪ اضافي ميزبان جي ذريعي ريٽائرڊ ڪيو ويو، جنهن اهو يقين ڪرڻ جو سبب ڏنو ته حملو هڪ شخص طرفان ڪيو ويو هو مهيا ڪندڙن جي انفراسٽرڪچر تائين رسائي سان.
نظرياتي طور تي، متبادل 18 اپريل (jabber.ru لاءِ پهرين جعلي سرٽيفڪيٽ جي ٺهڻ جي تاريخ) کان ٿي سگهي ٿو، پر سرٽيفڪيٽ جي متبادل جا تصديق ٿيل ڪيس صرف 21 جولاءِ کان 19 آڪٽوبر تائين رڪارڊ ڪيا ويا، هي سڄو وقت انڪوڊ ٿيل ڊيٽا جي مٽاسٽا jabber.ru ۽ xmpp.ru سان سمجھوتو سمجهي سگهجي ٿو. تحقيق شروع ٿيڻ کان پوءِ متبادل روڪيو ويو ، ٽيسٽون ڪيون ويون ۽ 18 آڪٽوبر تي فراهم ڪندڙ هٽسنر ۽ لينوڊ جي سپورٽ سروس ڏانهن هڪ درخواست موڪلي وئي. ساڳئي وقت، هڪ اضافي منتقلي جڏهن لينوڊ ۾ سرورز مان هڪ بندرگاهه 5222 ڏانهن موڪليا ويا پيڪيٽس اڃا تائين مشاهدو ڪيو ويو آهي، پر سرٽيفڪيٽ هاڻي تبديل نه ڪيو ويو آهي.
اهو فرض ڪيو ويو آهي ته حملو قانون لاڳو ڪندڙ ادارن جي درخواست تي مهيا ڪندڙن جي ڄاڻ سان ڪيو ويو هجي، ٻنهي مهيا ڪندڙن جي انفراسٽرڪچر کي هيڪ ڪرڻ جي نتيجي ۾، يا هڪ ملازم طرفان جيڪو ٻنهي مهيا ڪندڙن تائين رسائي حاصل ڪري چڪو هو. XMPP ٽرئفڪ کي مداخلت ڪرڻ ۽ تبديل ڪرڻ جي قابل ٿيڻ سان، حملو ڪندڙ سڀني اڪائونٽ سان لاڳاپيل ڊيٽا تائين رسائي حاصل ڪري سگهي ٿو، جهڙوڪ سرور تي محفوظ ڪيل پيغام جي تاريخ، ۽ ٻين جي طرفان پيغام پڻ موڪلي سگهي ٿي ۽ ٻين ماڻهن جي پيغامن ۾ تبديليون آڻي سگهي ٿي. آخر کان آخر تائين انڪرپشن (OMEMO، OTR يا PGP) استعمال ڪندي موڪليل نياپا سمجھوتا نه ٿي سگھن ٿا جيڪڏھن ڪنيڪشن جي ٻنهي پاسن تي استعمال ڪندڙن پاران انڪرپشن ڪيز جي تصديق ڪئي وڃي. Jabber.ru استعمال ڪندڙن کي صلاح ڏني وئي آهي ته اهي پنهنجو رسائي پاس ورڊ تبديل ڪن ۽ OMEMO ۽ PGP چيڪن کي چيڪ ڪريو انهن جي PEP اسٽوريج ۾ ممڪن متبادل لاءِ.
جو ذريعو: opennet.ru