Administrator strežnika Jabber jabber.ru (xmpp.ru) je identificiral napad za dešifriranje uporabniškega prometa (MITM), ki se je izvajal v obdobju od 90 dni do 6 mesecev v omrežjih nemških ponudnikov gostovanja Hetzner in Linode, ki gostita projektni strežnik in pomožno okolje VPS. Napad je organiziran s preusmeritvijo prometa na tranzitno vozlišče, ki nadomesti potrdilo TLS za povezave XMPP, šifrirane z razširitvijo STARTTLS.
Napad je bil opažen zaradi napake njegovih organizatorjev, ki niso imeli časa obnoviti potrdila TLS, uporabljenega za ponarejanje. 16. oktobra je skrbnik jabber.ru, ko se je poskušal povezati s storitvijo, prejel sporočilo o napaki zaradi poteka veljavnosti potrdila, vendar potrdilo, ki se nahaja na strežniku, ni poteklo. Posledično se je izkazalo, da se potrdilo, ki ga je prejel odjemalec, razlikuje od potrdila, ki ga je poslal strežnik. Prvo lažno potrdilo TLS je bilo pridobljeno 18. aprila 2023 prek storitve Let's Encrypt, v kateri je napadalec, ki je lahko prestregel promet, lahko potrdil dostop do spletnih mest jabber.ru in xmpp.ru.
Sprva je obstajala domneva, da je projektni strežnik ogrožen in da se na njegovi strani izvaja zamenjava. Toda revizija ni razkrila sledi vdora. Hkrati je bil v dnevniku na strežniku zaznan kratkotrajni izklop in vklop omrežnega vmesnika (NIC Link is Down/NIC Link is Up), ki je bil izveden 18. julija ob 12:58 in bi lahko kažejo na manipulacije s povezavo strežnika s stikalom. Omeniti velja, da sta bili dve lažni potrdili TLS ustvarjeni nekaj minut prej - 18. julija ob 12 in 49.
Poleg tega je bila zamenjava izvedena ne samo v omrežju ponudnika Hetzner, ki gosti glavni strežnik, ampak tudi v omrežju ponudnika Linode, kjer so gostovala VPS okolja s pomožnimi proxyji, ki preusmerjajo promet z drugih naslovov. Posredno je bilo ugotovljeno, da je bil promet na omrežna vrata 5222 (XMPP STARTTLS) v omrežjih obeh ponudnikov preusmerjen prek dodatnega gostitelja, kar je dalo razlog za domnevo, da je napad izvedla oseba z dostopom do infrastrukture ponudnikov.
Teoretično bi lahko zamenjavo izvedli od 18. aprila (datum nastanka prvega ponarejenega potrdila za jabber.ru), vendar so bili potrjeni primeri zamenjave potrdila zabeleženi šele od 21. julija do 19. oktobra, ves ta čas pa je potekala šifrirana izmenjava podatkov. z jabber.ru in xmpp.ru se lahko šteje za ogroženo. Zamenjava se je ustavila po začetku preiskave, opravljenih testih in 18. oktobra poslani zahtevi podporni službi ponudnikov Hetzner in Linode. Hkrati je še danes opazen dodaten prehod pri usmerjanju paketov, poslanih na vrata 5222 enega od strežnikov v Linode, vendar potrdilo ni več nadomeščeno.
Predvideva se, da bi lahko bil napad izveden z vednostjo ponudnikov na zahtevo organov pregona, kot posledica vdora v infrastrukturo obeh ponudnikov ali s strani zaposlenega, ki je imel dostop do obeh ponudnikov. Z možnostjo prestrezanja in spreminjanja prometa XMPP bi lahko napadalec pridobil dostop do vseh podatkov, povezanih z računom, kot je zgodovina sporočanja, shranjena na strežniku, lahko pa bi tudi pošiljal sporočila v imenu drugih in spreminjal sporočila drugih ljudi. Sporočila, poslana s šifriranjem od konca do konca (OMEMO, OTR ali PGP), se lahko štejejo za neogrožena, če uporabniki na obeh straneh povezave preverijo šifrirne ključe. Uporabnikom Jabber.ru svetujemo, da spremenijo svoja dostopna gesla in preverijo ključa OMEMO in PGP v svojih shrambah PEP za morebitno zamenjavo.
Vir: opennet.ru