Správca servera Jabber jabber.ru (xmpp.ru) identifikoval útok na dešifrovanie návštevnosti používateľov (MITM), ktorý sa uskutočnil v priebehu 90 dní až 6 mesiacov v sieťach nemeckých poskytovateľov hostingu Hetzner a Linode, ktorí sú hostiteľmi projektový server a pomocné VPS prostredie. Útok je organizovaný presmerovaním prevádzky na tranzitný uzol, ktorý nahrádza certifikát TLS pre pripojenia XMPP šifrované pomocou rozšírenia STARTTLS.
Útok zaznamenali kvôli chybe jeho organizátori, ktorí si nestihli obnoviť certifikát TLS používaný na spoofing. 16. októbra správca jabber.ru pri pokuse o pripojenie k službe dostal chybové hlásenie z dôvodu vypršania platnosti certifikátu, ale certifikát umiestnený na serveri nevypršal. V dôsledku toho sa ukázalo, že certifikát, ktorý klient dostal, sa líšil od certifikátu odoslaného serverom. Prvý falošný certifikát TLS bol získaný 18. apríla 2023 prostredníctvom služby Let's Encrypt, v ktorej útočníkovi, ktorý dokázal zachytiť prenos, dokázal potvrdiť prístup na stránky jabber.ru a xmpp.ru.
Najprv sa predpokladalo, že bol ohrozený projektový server a na jeho strane prebiehala zámena. Audit ale neodhalil žiadne stopy po hackovaní. Zároveň bolo v logu na serveri zaznamenané krátkodobé vypnutie a zapnutie sieťového rozhrania (NIC Link is Down/NIC Link is Up), ktoré bolo vykonané 18. júla o 12:58 a mohlo indikujú manipulácie s pripojením servera k prepínaču. Pozoruhodné je, že dva falošné TLS certifikáty boli vygenerované o pár minút skôr – 18. júla o 12:49 a 12:38.
Okrem toho sa substitúcia uskutočnila nielen v sieti poskytovateľa Hetzner, ktorý je hostiteľom hlavného servera, ale aj v sieti poskytovateľa Linode, ktorý hostil prostredia VPS s pomocnými proxy, ktoré presmerujú prevádzku z iných adries. Nepriamo sa zistilo, že prevádzka na sieťový port 5222 (XMPP STARTTLS) v sieťach oboch poskytovateľov bola presmerovaná cez ďalšieho hostiteľa, čo dávalo dôvod domnievať sa, že útok vykonala osoba s prístupom k infraštruktúre poskytovateľov.
Teoreticky mohla byť zámena vykonaná od 18. apríla (dátum vytvorenia prvého falošného certifikátu pre jabber.ru), ale potvrdené prípady zámeny certifikátu boli zaznamenané až od 21. júla do 19. októbra, pričom celý tento čas prebiehala šifrovaná výmena údajov s jabber.ru a xmpp.ru možno považovať za napadnuté . Substitúcia sa zastavila po začatí vyšetrovania, vykonaní testov a odoslaní žiadosti podpornej službe poskytovateľov Hetzner a Linode 18. októbra. Zároveň sa aj dnes pozoruje dodatočný prechod pri smerovaní paketov odoslaných na port 5222 jedného zo serverov v Linode, ale certifikát sa už nenahrádza.
Predpokladá sa, že útok mohol byť vykonaný s vedomím poskytovateľov na žiadosť orgánov činných v trestnom konaní v dôsledku hacknutia infraštruktúr oboch poskytovateľov, alebo zo strany zamestnanca, ktorý mal prístup k obom poskytovateľom. Tým, že útočník dokáže zachytiť a upraviť prenos XMPP, môže získať prístup ku všetkým údajom súvisiacim s účtom, ako je história správ uložená na serveri, a tiež môže odosielať správy v mene iných a vykonávať zmeny v správach iných ľudí. Správy odoslané pomocou end-to-end šifrovania (OMEMO, OTR alebo PGP) možno považovať za nekompromitované, ak sú šifrovacie kľúče overené používateľmi na oboch stranách pripojenia. Používateľom Jabber.ru sa odporúča, aby si zmenili svoje prístupové heslá a skontrolovali kľúče OMEMO a PGP vo svojich úložiskách PEP, či ich možno nahradiť.
Zdroj: opennet.ru