Msimamizi wa seva ya Jabber jabber.ru (xmpp.ru) aligundua shambulio la kusimbua trafiki ya watumiaji (MITM), lililofanywa kwa muda wa siku 90 hadi miezi 6 katika mitandao ya watoa huduma wa uenyeji wa Ujerumani Hetzner na Linode, ambayo ni mwenyeji wa seva ya mradi na mazingira msaidizi wa VPS. Shambulio hilo linapangwa kwa kuelekeza upya trafiki kwenye nodi ya usafiri ambayo inachukua nafasi ya cheti cha TLS cha miunganisho ya XMPP iliyosimbwa kwa njia fiche kwa kutumia kiendelezi cha STARTTLS.
Shambulio hilo lilibainika kutokana na makosa ya waandaaji wake, ambao hawakupata muda wa kuhuisha cheti cha TLS kilichotumika kufanya udukuzi huo. Mnamo Oktoba 16, msimamizi wa jabber.ru, wakati akijaribu kuunganisha kwenye huduma, alipokea ujumbe wa kosa kutokana na kumalizika kwa cheti, lakini cheti kilicho kwenye seva haikuisha. Matokeo yake, ikawa kwamba cheti ambacho mteja alipokea kilikuwa tofauti na cheti kilichotumwa na seva. Cheti cha kwanza ghushi cha TLS kilipatikana mnamo Aprili 18, 2023 kupitia huduma ya Let's Encrypt, ambapo mshambuliaji, akiwa na uwezo wa kuzuia trafiki, aliweza kuthibitisha ufikiaji wa tovuti za jabber.ru na xmpp.ru.
Mara ya kwanza, kulikuwa na dhana kwamba seva ya mradi ilikuwa imeathirika na uingizwaji ulikuwa unafanywa kwa upande wake. Lakini ukaguzi haukuonyesha athari zozote za udukuzi. Wakati huo huo, katika logi kwenye seva, kuzima na kuwasha kwa muda mfupi kwa kiolesura cha mtandao (NIC Link iko Chini/NIC Link iko Juu) ilionekana, ambayo ilifanyika Julai 18 saa 12:58 na inaweza. onyesha ghiliba na unganisho la seva kwenye swichi. Ni vyema kutambua kwamba vyeti viwili vya bandia vya TLS vilitolewa dakika chache mapema - Julai 18 saa 12:49 na 12:38.
Kwa kuongezea, uingizwaji huo ulifanywa sio tu kwenye mtandao wa mtoaji wa Hetzner, ambao hupokea seva kuu, lakini pia katika mtandao wa mtoaji wa Linode, ambao ulishikilia mazingira ya VPS na wasaidizi wa wasaidizi ambao huelekeza trafiki kutoka kwa anwani zingine. Kwa njia isiyo ya moja kwa moja, ilibainika kuwa trafiki kwa bandari ya mtandao 5222 (XMPP STARTTLS) katika mitandao ya watoa huduma wote wawili ilielekezwa kupitia mwenyeji wa ziada, ambayo ilitoa sababu ya kuamini kuwa shambulio hilo lilifanywa na mtu aliye na upatikanaji wa miundombinu ya watoa huduma.
Kinadharia, uingizwaji huo ungeweza kufanywa kutoka Aprili 18 (tarehe ya uundaji wa cheti bandia cha kwanza cha jabber.ru), lakini kesi zilizothibitishwa za uingizwaji wa cheti zilirekodiwa tu kutoka Julai 21 hadi Oktoba 19, wakati huu wote ubadilishanaji wa data uliosimbwa. na jabber.ru na xmpp.ru inaweza kuchukuliwa kuathirika. Ubadilishaji huo ulisimamishwa baada ya uchunguzi kuanza, majaribio yalifanywa na ombi lilitumwa kwa huduma ya usaidizi ya Hetzner na Linode mnamo Oktoba 18. Wakati huo huo, mpito wa ziada wakati pakiti za kuelekeza zinazotumwa kwenye bandari 5222 ya mojawapo ya seva katika Linode bado huzingatiwa leo, lakini cheti hakijabadilishwa tena.
Inachukuliwa kuwa shambulio hilo lingeweza kutekelezwa kwa ufahamu wa watoa huduma kwa ombi la vyombo vya kutekeleza sheria, kama matokeo ya kudukuliwa kwa miundomsingi ya watoa huduma wote wawili, au na mfanyakazi ambaye alikuwa na uwezo wa kufikia watoa huduma wote wawili. Kwa kuweza kukatiza na kurekebisha trafiki ya XMPP, mshambuliaji anaweza kufikia data yote inayohusiana na akaunti, kama vile historia ya ujumbe iliyohifadhiwa kwenye seva, na pia anaweza kutuma ujumbe kwa niaba ya wengine na kufanya mabadiliko kwa ujumbe wa watu wengine. Ujumbe unaotumwa kwa kutumia usimbaji fiche kutoka mwanzo hadi mwisho (OMEMO, OTR au PGP) unaweza kuchukuliwa kuwa haujaathiriwa ikiwa vitufe vya usimbaji fiche vitathibitishwa na watumiaji wa pande zote za muunganisho. Watumiaji wa Jabber.ru wanashauriwa kubadilisha nywila zao za ufikiaji na kuangalia funguo za OMEMO na PGP katika hifadhi zao za PEP kwa uwezekano wa kubadilisha.
Chanzo: opennet.ru