Administrator server Jabber jabber.ru (xmpp.ru) ngaidentipikasi serangan pikeun ngadekrip lalu lintas pangguna (MITM), dilaksanakeun salami 90 dinten dugi ka 6 bulan dina jaringan panyadia hosting Jerman Hetzner sareng Linode, anu janten host server proyék jeung VPS bantu lingkungan. Serangan ieu diatur ku alihan lalu lintas ka titik transit anu ngagentos sertipikat TLS pikeun sambungan XMPP anu énkripsi nganggo ekstensi STARTTLS.
Serangan éta diperhatoskeun kusabab kasalahan ku panitia, anu henteu gaduh waktos pikeun nganyarankeun sertipikat TLS anu dianggo pikeun spoofing. Tanggal 16 Oktober, administrator jabber.ru, nalika nyobian nyambung ka jasa, nampi pesen kasalahan kusabab béakna sertipikat, tapi sertipikat anu aya dina server henteu kadaluwarsa. Hasilna, tétéla yén sertipikat klien narima éta béda ti sertipikat dikirim ku server. Sertipikat TLS palsu anu munggaran dicandak dina 18 April 2023 ngalangkungan jasa Let's Encrypt, dimana panyerang, tiasa nyegat lalu lintas, tiasa mastikeun aksés ka situs jabber.ru sareng xmpp.ru.
Mimitina, aya anggapan yén server proyék parantos dikompromi sareng substitusi anu dilaksanakeun di sisi na. Tapi Inok teu nembongkeun sagala ngambah hacking. Dina waktu nu sarua, dina log on server, a switching jangka pondok dipareuman tur on tina panganteur jaringan (NIC Link nyaeta Turun / NIC Link nyaeta Up) ieu noticed, anu dipigawé dina 18 Juli di 12:58 sarta bisa. nunjukkeun Manipulasi kalawan sambungan tina server ka switch. Catet yén dua sertipikat TLS palsu dihasilkeun sababaraha menit sateuacana - dina 18 Juli jam 12:49 sareng 12:38.
Salaku tambahan, substitusi dilaksanakeun henteu ngan ukur dina jaringan panyadia Hetzner, anu ngagaduhan server utama, tapi ogé dina jaringan panyadia Linode, anu nyayogikeun lingkungan VPS sareng proxy bantu anu alihan lalu lintas ti alamat anu sanés. Sacara teu langsung, kapanggih yén lalulintas ka port jaringan 5222 (XMPP STARTTLS) dina jaringan duanana panyadia ieu dialihkeun ngaliwatan hiji host tambahan, nu masihan alesan pikeun yakin yén serangan ieu dilumangsungkeun ku jalma kalawan aksés ka infrastruktur panyadia '.
Sacara téoritis, substitusi bisa geus dilaksanakeun ti 18 April (tanggal kreasi sertipikat palsu munggaran pikeun jabber.ru), tapi dikonfirmasi kasus substitusi sertipikat kacatet ngan ti 21 Juli nepi ka 19 Oktober, sadaya waktu ieu énkripsi bursa data. kalawan jabber.ru jeung xmpp.ru bisa dianggap kompromi. Substitusi dieureunkeun saatos panalungtikan dimimitian, tés dilaksanakeun sareng pamenta dikirim ka jasa dukungan panyadia Hetzner sareng Linode dina 18 Oktober. Dina waktos anu sami, transisi tambahan nalika pakét rute anu dikirim ka port 5222 salah sahiji server di Linode masih diperhatoskeun ayeuna, tapi sertipikatna henteu deui diganti.
Diperkirakeun yén serangan éta tiasa dilaksanakeun kalayan kanyaho para panyayogikeun ku paménta agénsi penegak hukum, salaku hasil tina hacking infrastruktur duanana panyadia, atanapi ku karyawan anu ngagaduhan aksés ka duanana panyadia. Ku tiasa nyegat sareng ngarobih lalu lintas XMPP, panyerang tiasa nampi aksés ka sadaya data anu aya hubunganana sareng akun, sapertos riwayat olahtalatah anu disimpen dina server, sareng ogé tiasa ngirim pesen atas nama batur sareng ngarobih kana pesen jalma sanés. Pesen anu dikirim nganggo enkripsi tungtung-ka-tungtung (OMEMO, OTR atanapi PGP) tiasa dianggap henteu kompromi upami konci enkripsi diverifikasi ku pangguna dina dua sisi sambungan. Pangguna Jabber.ru disarankan pikeun ngarobih kecap akses aksés sareng pariksa konci OMEMO sareng PGP dina panyimpenan PEP pikeun kamungkinan ngagantian.
sumber: opennet.ru