Jabber sunucusu jabber.ru'nun (xmpp.ru) yöneticisi, kullanıcı trafiğinin (MITM) şifresini çözmek için, Alman barındırma sağlayıcıları Hetzner ve Linode'un ağlarında 90 gün ila 6 ay arasında gerçekleştirilen bir saldırı tespit etti. proje sunucusu ve yardımcı VPS ortamı. Saldırı, trafiğin STARTTLS uzantısı kullanılarak şifrelenen XMPP bağlantıları için TLS sertifikasının yerini alan bir geçiş düğümüne yönlendirilmesiyle düzenleniyor.
Saldırı, sahtekarlık için kullanılan TLS sertifikasını yenilemek için zamanı olmayan organizatörlerin yaptığı bir hata nedeniyle fark edildi. 16 Ekim'de jabber.ru yöneticisi hizmete bağlanmaya çalışırken sertifikanın süresinin dolması nedeniyle bir hata mesajı aldı, ancak sunucuda bulunan sertifikanın süresi dolmamıştı. Sonuç olarak istemcinin aldığı sertifikanın, sunucunun gönderdiği sertifikadan farklı olduğu ortaya çıktı. İlk sahte TLS sertifikası, 18 Nisan 2023'te, trafiğe müdahale edebilen saldırganın jabber.ru ve xmpp.ru sitelerine erişimi doğrulayabildiği Let's Encrypt hizmeti aracılığıyla elde edildi.
İlk başta, proje sunucusunun ele geçirildiği ve kendi tarafında bir değişiklik yapıldığı varsayımı vardı. Ancak denetimde herhangi bir hack izine rastlanmadı. Aynı zamanda, sunucudaki günlükte, 18 Temmuz'da saat 12:58'de gerçekleştirilen ağ arayüzünün (NIC Bağlantısı Kapalı/NIC Bağlantısı Açık) kısa süreli kapatılıp açılması fark edildi ve sunucunun anahtara bağlantısıyla ilgili manipülasyonları gösterir. Birkaç dakika önce iki sahte TLS sertifikasının oluşturulduğu dikkat çekicidir - 18 Temmuz'da 12:49 ve 12:38'de.
Ayrıca, değişiklik yalnızca ana sunucuyu barındıran Hetzner sağlayıcısının ağında değil, aynı zamanda trafiği diğer adreslerden yönlendiren yardımcı proxy'lere sahip VPS ortamlarını barındıran Linode sağlayıcısının ağında da gerçekleştirildi. Dolaylı olarak, her iki sağlayıcının ağlarındaki 5222 numaralı ağ bağlantı noktasına (XMPP STARTTLS) giden trafiğin ek bir ana bilgisayar üzerinden yönlendirildiği tespit edildi ve bu da saldırının, sağlayıcıların altyapısına erişimi olan bir kişi tarafından gerçekleştirildiğine inanmak için neden verdi.
Teorik olarak, değiştirme 18 Nisan'dan (jabber.ru için ilk sahte sertifikanın oluşturulma tarihi) itibaren gerçekleştirilmiş olabilir, ancak onaylanmış sertifika değiştirme vakaları yalnızca 21 Temmuz'dan 19 Ekim'e kadar kaydedildi, tüm bu süre boyunca şifreli veri alışverişi jabber.ru ve xmpp.ru'nun güvenliği ihlal edilmiş sayılabilir. Soruşturma başladıktan sonra oyuncu değişikliği durduruldu, testler yapıldı ve 18 Ekim'de Hetzner ve Linode sağlayıcılarının destek servisine talep gönderildi. Aynı zamanda, Linode'daki sunuculardan birinin 5222 numaralı bağlantı noktasına gönderilen paketleri yönlendirirken ek bir geçiş bugün hala gözlemleniyor, ancak sertifika artık değiştirilmiyor.
Saldırının, kolluk kuvvetlerinin talebi üzerine sağlayıcıların bilgisi dahilinde, her iki sağlayıcının altyapılarının hacklenmesi sonucunda veya her iki sağlayıcıya da erişimi olan bir çalışan tarafından gerçekleştirilmiş olabileceği varsayılıyor. Saldırgan, XMPP trafiğini yakalayıp değiştirebildiğinde, sunucuda depolanan mesajlaşma geçmişi gibi hesapla ilgili tüm verilere erişebilir ve ayrıca başkaları adına mesaj gönderebilir ve diğer kişilerin mesajlarında değişiklik yapabilir. Uçtan uca şifreleme (OMEMO, OTR veya PGP) kullanılarak gönderilen mesajlar, şifreleme anahtarlarının bağlantının her iki tarafındaki kullanıcılar tarafından doğrulanması durumunda, güvenliği ihlal edilmemiş olarak değerlendirilebilir. Jabber.ru kullanıcılarının erişim şifrelerini değiştirmeleri ve olası değişiklik için PEP depolarındaki OMEMO ve PGP anahtarlarını kontrol etmeleri önerilir.
Kaynak: opennet.ru