Администратори сервери Jabber jabber.ru (xmpp.ru) ҳамлаеро барои рамзкушоӣ кардани трафики корбарон (MITM) муайян кард, ки дар тӯли 90 рӯз то 6 моҳ дар шабакаҳои провайдерҳои хостинги олмонӣ Hetzner ва Linode, ки мизбон сервери лоиҳа ва муҳити ёрирасони VPS. Ҳамла тавассути интиқоли трафик ба гиреҳи транзитӣ, ки шаҳодатномаи TLS-ро барои пайвастҳои XMPP бо истифода аз тамдиди STARTTLS рамзгузорӣ шудааст, иваз мекунад, ташкил карда мешавад.
Ҳамла ба далели иштибоҳи созмондиҳандагони он мушоҳида шуд, ки барои тамдиди сертификати TLS, ки барои қаллобӣ истифода мешуд, вақт надоштанд. Рӯзи 16 октябр маъмури jabber.ru ҳангоми кӯшиши пайвастшавӣ ба хадамот, бо сабаби ба охир расидани мӯҳлати сертификат паёми хатогӣ гирифт, аммо мӯҳлати шаҳодатномаи воқеъ дар сервер ба охир нарасидааст. Дар натиҷа маълум шуд, ки сертификати гирифтаи муштарӣ аз сертификати фиристодаи сервер фарқ мекунад. Аввалин шаҳодатномаи қалбакии TLS 18 апрели соли 2023 тавассути хидмати Let's Encrypt гирифта шуда буд, ки дар он ҳамлакунанда тавонист трафикро боздорад, дастрасӣ ба сайтҳои jabber.ru ва xmpp.ru-ро тасдиқ кунад.
Дар аввал тахмине вуҷуд дошт, ки сервери лоиҳа осеб дидааст ва аз ҷониби он ивазкунӣ гузаронида мешавад. Аммо аудит ягон осори хакериро ошкор накард. Ҳамзамон, дар гузориши сервер, хомӯш ва фаъолсозии кӯтоҳмуддати интерфейси шабака (NIC Link поён аст/NIC Link боло аст) мушоҳида шуд, ки 18 июл соати 12:58 иҷро шуда, метавонад манипуляцияҳоро бо пайвасти сервер ба коммутатор нишон диҳед. Қобили зикр аст, ки ду сертификати қалбакии TLS чанд дақиқа пештар – 18 июл соати 12:49 ва 12:38 таҳия шуда буданд.
Илова бар ин, ивазкунӣ на танҳо дар шабакаи провайдери Hetzner, ки сервери асосӣ дорад, балки дар шабакаи провайдери Linode, ки муҳитҳои VPS-ро бо проксиҳои ёрирасон, ки трафикро аз суроғаҳои дигар равона мекунанд, ҷойгир кардааст, анҷом дода шуд. Бавосита муайян карда шуд, ки трафик ба бандари шабакавии 5222 (XMPP STARTTLS) дар шабакаҳои ҳарду провайдер тавассути ҳости иловагӣ равона карда шудааст, ки ин ба он асос медод, ки ҳамла аз ҷониби шахсе анҷом шудааст, ки ба инфрасохтори провайдерҳо дастрасӣ дорад.
Аз ҷиҳати назариявӣ, ивазкунӣ метавонист аз 18 апрел (рӯзи таъсиси аввалин шаҳодатномаи қалбакӣ барои jabber.ru) анҷом дода шавад, аммо ҳолатҳои тасдиқшудаи иваз кардани сертификат танҳо аз 21 июл то 19 октябр ба қайд гирифта шуданд, ки ҳама вақт мубодилаи маълумот рамзгузорӣ шудааст. бо jabber.ru ва xmpp.ru метавон зери хатар қарор гирифт. Иваз пас аз оғози тафтишот қатъ карда шуд, санҷишҳо гузаронида шуданд ва дархост ба хадамоти дастгирии провайдерҳои Ҳетцнер ва Линоде 18 октябр фиристода шуд. Ҳамзамон, гузариши иловагӣ ҳангоми масири пакетҳои ба порти 5222 яке аз серверҳо дар Linode фиристодашуда ҳоло ҳам мушоҳида мешавад, аммо сертификат дигар иваз карда намешавад.
Тахмин меравад, ки ҳамла метавонад бо огоҳии провайдерҳо бо дархости мақомоти ҳифзи ҳуқуқ, дар натиҷаи рахна кардани зерсохторҳои ҳарду провайдер ё корманде, ки ба ҳарду провайдер дастрасӣ дошт, сурат гирифта бошад. Тавассути тавони боздоштан ва тағир додани трафики XMPP, ҳамлакунанда метавонад ба ҳама маълумоти марбут ба ҳисоб, аз қабили таърихи паёмнависии дар сервер захирашуда дастрасӣ пайдо кунад ва инчунин метавонад аз номи дигарон паём фиристад ва ба паёмҳои одамони дигар тағйирот ворид кунад. Паёмҳое, ки бо истифода аз рамзгузории охири ба охир (OMEMO, OTR ё PGP) фиристода мешаванд, агар калидҳои рамзгузорӣ аз ҷониби корбарон дар ҳарду тарафи пайваст тасдиқ карда шаванд, осеб надидаанд. Ба корбарони Jabber.ru тавсия дода мешавад, ки паролҳои дастрасии худро иваз кунанд ва калидҳои OMEMO ва PGP-ро дар анборҳои PEP-и худ барои иваз кардани имконпазир тафтиш кунанд.
Манбаъ: opennet.ru