Jabber sunucusu jabber.ru'nun (xmpp.ru) yöneticisi, kullanıcı trafiğinin (MITM) şifresini çözmek için, Alman barındırma sağlayıcıları Hetzner ve Linode'un ağlarında 90 gün ila 6 ay arasında gerçekleştirilen bir saldırı tespit etti. proje sunucusu ve yardımcı VPS ortamı. Saldırı, trafiğin STARTTLS uzantısı kullanılarak şifrelenen XMPP bağlantıları için TLS sertifikasının yerini alan bir geçiş düğümüne yönlendirilmesiyle düzenleniyor.
Saldırı, organizatörlerin sahtekarlık için kullanılan TLS sertifikasını yenilememesi nedeniyle ortaya çıkan bir hata sonucu tespit edildi. 16 Ekim'de jabber.ru yöneticisi, hizmete bağlanmaya çalışırken sertifikanın süresinin dolmasıyla ilgili bir hata mesajı aldı, ancak sunucuda barındırılan sertifikanın süresi dolmamıştı. Sonunda, istemci tarafından alınan sertifikanın sunucu tarafından gönderilen sertifikadan farklı olduğu keşfedildi. İlk sahtekarlık TLS sertifikası Saldırgan, trafiği ele geçirme yeteneğine sahip olarak, 18 Nisan 2023'te Let's Encrypt hizmeti aracılığıyla jabber.ru ve xmpp.ru sitelerine erişimi doğrulayabildi.
İlk başta, proje sunucusunun ele geçirildiği ve kendi tarafında bir değişiklik yapıldığı varsayımı vardı. Ancak denetimde herhangi bir hack izine rastlanmadı. Aynı zamanda, sunucudaki günlükte, 18 Temmuz'da saat 12:58'de gerçekleştirilen ağ arayüzünün (NIC Bağlantısı Kapalı/NIC Bağlantısı Açık) kısa süreli kapatılıp açılması fark edildi ve sunucunun anahtara bağlantısıyla ilgili manipülasyonları gösterir. Birkaç dakika önce iki sahte TLS sertifikasının oluşturulduğu dikkat çekicidir - 18 Temmuz'da 12:49 ve 12:38'de.
Ayrıca, değişiklik yalnızca ana sunucuyu barındıran Hetzner sağlayıcısının ağında değil, aynı zamanda trafiği diğer adreslerden yönlendiren yardımcı proxy'lere sahip VPS ortamlarını barındıran Linode sağlayıcısının ağında da gerçekleştirildi. Dolaylı olarak, her iki sağlayıcının ağlarındaki 5222 numaralı ağ bağlantı noktasına (XMPP STARTTLS) giden trafiğin ek bir ana bilgisayar üzerinden yönlendirildiği tespit edildi ve bu da saldırının, sağlayıcıların altyapısına erişimi olan bir kişi tarafından gerçekleştirildiğine inanmak için neden verdi.
Teorik olarak, sertifika değiştirme işlemi 18 Nisan'dan (jabber.ru için ilk sahte sertifikanın oluşturulduğu tarih) beri gerçekleşiyor olabilirdi, ancak sertifika değiştirme vakaları yalnızca 21 Temmuz ile 19 Ekim arasında kaydedildi. Bu süre boyunca, jabber.ru ve xmpp.ru ile şifrelenmiş veri alışverişinin tehlikeye girdiği düşünülebilir. Soruşturma başladıktan, testler yapıldıktan ve 18 Ekim'de Hetzner ve Linode sağlayıcılarının destek hizmetlerine talep gönderildikten sonra sertifika değiştirme işlemi durduruldu. Ayrıca, sağlayıcılardan birinin 5222 numaralı portuna gönderilen paketlerin yönlendirilmesi sırasında ek bir atlama (hop) gerekiyordu. sunucular Linode'da bu uygulama bugün hala devam ediyor, ancak sertifika artık yenilenmiyor.
Saldırının, kolluk kuvvetlerinin talebi üzerine sağlayıcıların bilgisi dahilinde, her iki sağlayıcının altyapılarının hacklenmesi sonucunda veya her iki sağlayıcıya da erişimi olan bir çalışan tarafından gerçekleştirilmiş olabileceği varsayılıyor. Saldırgan, XMPP trafiğini yakalayıp değiştirebildiğinde, sunucuda depolanan mesajlaşma geçmişi gibi hesapla ilgili tüm verilere erişebilir ve ayrıca başkaları adına mesaj gönderebilir ve diğer kişilerin mesajlarında değişiklik yapabilir. Uçtan uca şifreleme (OMEMO, OTR veya PGP) kullanılarak gönderilen mesajlar, şifreleme anahtarlarının bağlantının her iki tarafındaki kullanıcılar tarafından doğrulanması durumunda, güvenliği ihlal edilmemiş olarak değerlendirilebilir. Jabber.ru kullanıcılarının erişim şifrelerini değiştirmeleri ve olası değişiklik için PEP depolarındaki OMEMO ve PGP anahtarlarını kontrol etmeleri önerilir.
Kaynak: opennet.ru
