Administratori i serverit Jabber jabber.ru (xmpp.ru) identifikoi një sulm për të deshifruar trafikun e përdoruesve (MITM), i kryer gjatë një periudhe prej 90 ditësh deri në 6 muaj në rrjetet e ofruesve gjermanë të pritjes Hetzner dhe Linode, të cilët presin serveri i projektit dhe mjedisi ndihmës VPS. Sulmi organizohet duke ridrejtuar trafikun në një nyje transit që zëvendëson certifikatën TLS për lidhjet XMPP të koduara duke përdorur shtesën STARTTLS.
Sulmi u vu re për shkak të një gabimi të organizatorëve të tij, të cilët nuk patën kohë të rinovonin certifikatën TLS të përdorur për mashtrimin. Më 16 tetor, administratori i jabber.ru, kur u përpoq të lidhej me shërbimin, mori një mesazh gabimi për shkak të skadimit të certifikatës, por certifikata e vendosur në server nuk kishte skaduar. Si rezultat, rezultoi se certifikata që mori klienti ishte e ndryshme nga certifikata e dërguar nga serveri. Certifikata e parë e rreme TLS u mor në 18 Prill 2023 përmes shërbimit Let's Encrypt, në të cilin sulmuesi, duke qenë në gjendje të përgjonte trafikun, ishte në gjendje të konfirmonte hyrjen në faqet jabber.ru dhe xmpp.ru.
Në fillim, ekzistonte një supozim se serveri i projektit ishte komprometuar dhe një zëvendësim po kryhej në anën e tij. Por auditimi nuk zbuloi asnjë gjurmë hakerimi. Në të njëjtën kohë, në regjistrin në server u vu re një fikje dhe ndezje afatshkurtër e ndërfaqes së rrjetit (NIC Link është Down/NIC Link është Up), e cila u krye më 18 korrik në orën 12:58 dhe mund të tregoni manipulimet me lidhjen e serverit me çelësin. Vlen të përmendet se dy certifikata të rreme TLS u krijuan disa minuta më parë - më 18 korrik në orën 12:49 dhe 12:38.
Për më tepër, zëvendësimi u krye jo vetëm në rrjetin e ofruesit Hetzner, i cili pret serverin kryesor, por edhe në rrjetin e ofruesit Linode, i cili priti mjedise VPS me proxies ndihmëse që ridrejtojnë trafikun nga adresat e tjera. Në mënyrë indirekte, u zbulua se trafiku në portin e rrjetit 5222 (XMPP STARTTLS) në rrjetet e të dy ofruesve u ridrejtua përmes një hosti shtesë, gjë që dha arsye për të besuar se sulmi ishte kryer nga një person me akses në infrastrukturën e ofruesve.
Teorikisht, zëvendësimi mund të ishte kryer nga 18 Prilli (data e krijimit të certifikatës së parë të rreme për jabber.ru), por rastet e konfirmuara të zëvendësimit të certifikatës u regjistruan vetëm nga 21 korriku deri më 19 tetor, gjatë gjithë kësaj kohe shkëmbimi i koduar i të dhënave me jabber.ru dhe xmpp.ru mund të konsiderohet i komprometuar. Zëvendësimi u ndal pasi filloi hetimi, u kryen testet dhe një kërkesë iu dërgua shërbimit mbështetës të ofruesve Hetzner dhe Linode më 18 tetor. Në të njëjtën kohë, një tranzicion shtesë gjatë rrugëzimit të paketave të dërguara në portin 5222 të një prej serverëve në Linode është vërejtur ende sot, por certifikata nuk zëvendësohet më.
Supozohet se sulmi mund të ishte kryer me dijeninë e ofruesve me kërkesë të agjencive të zbatimit të ligjit, si rezultat i hakimit të infrastrukturës së të dy ofruesve, ose nga një punonjës që kishte akses në të dy ofruesit. Duke qenë në gjendje të përgjojë dhe modifikojë trafikun XMPP, sulmuesi mund të fitojë akses në të gjitha të dhënat e lidhura me llogarinë, siç është historia e mesazheve të ruajtura në server, dhe gjithashtu mund të dërgojë mesazhe në emër të të tjerëve dhe të bëjë ndryshime në mesazhet e njerëzve të tjerë. Mesazhet e dërguara duke përdorur enkriptimin nga skaji në fund (OMEMO, OTR ose PGP) mund të konsiderohen të pa komprometuara nëse çelësat e enkriptimit verifikohen nga përdoruesit në të dy anët e lidhjes. Përdoruesit e Jabber.ru këshillohen të ndryshojnë fjalëkalimet e tyre të aksesit dhe të kontrollojnë çelësat OMEMO dhe PGP në magazinat e tyre PEP për zëvendësim të mundshëm.
Burimi: opennet.ru