جابر سرور jabber.ru (xmpp.ru) کے منتظم نے صارف ٹریفک (MITM) کو ڈکرپٹ کرنے کے لیے ایک حملے کی نشاندہی کی، جو جرمن ہوسٹنگ فراہم کرنے والے Hetzner اور Linode کے نیٹ ورکس میں 90 دن سے 6 ماہ کے عرصے میں کیے گئے، جو کہ میزبانی کرتے ہیں۔ پروجیکٹ سرور اور معاون VPS ماحول۔ اس حملے کو ٹریفک کو ایک ٹرانزٹ نوڈ پر ری ڈائریکٹ کرکے ترتیب دیا گیا ہے جو STARTTLS ایکسٹینشن کا استعمال کرتے ہوئے انکرپٹ شدہ XMPP کنکشنز کے لیے TLS سرٹیفکیٹ کی جگہ لے لیتا ہے۔
حملہ اس کے منتظمین کی غلطی کی وجہ سے دیکھا گیا، جن کے پاس جعل سازی کے لیے استعمال ہونے والے TLS سرٹیفکیٹ کی تجدید کا وقت نہیں تھا۔ 16 اکتوبر کو، jabber.ru کے ایڈمنسٹریٹر نے سروس سے منسلک ہونے کی کوشش کرتے وقت سرٹیفکیٹ کی میعاد ختم ہونے کی وجہ سے ایک ایرر میسج موصول کیا، لیکن سرور پر موجود سرٹیفکیٹ کی میعاد ختم نہیں ہوئی تھی۔ نتیجے کے طور پر، یہ پتہ چلا کہ کلائنٹ کو موصول ہونے والا سرٹیفکیٹ سرور کے بھیجے گئے سرٹیفکیٹ سے مختلف تھا۔ پہلا جعلی TLS سرٹیفکیٹ 18 اپریل 2023 کو Let's Encrypt سروس کے ذریعے حاصل کیا گیا تھا، جس میں حملہ آور، ٹریفک کو روکنے کے قابل ہو کر، jabber.ru اور xmpp.ru سائٹس تک رسائی کی تصدیق کرنے کے قابل تھا۔
سب سے پہلے، ایک مفروضہ تھا کہ پروجیکٹ سرور سے سمجھوتہ کیا گیا تھا اور اس کی طرف سے ایک متبادل کیا جا رہا تھا. لیکن آڈٹ میں ہیکنگ کے کوئی نشانات سامنے نہیں آئے۔ اسی وقت، سرور پر لاگ میں، نیٹ ورک انٹرفیس (NIC Link is Down/NIC Link is Up) کا ایک قلیل مدتی سوئچ آف اور آن دیکھا گیا، جو 18 جولائی کو 12:58 پر انجام دیا گیا تھا اور ہو سکتا تھا۔ سوئچ سے سرور کے کنکشن کے ساتھ ہیرا پھیری کی نشاندہی کریں۔ یہ قابل ذکر ہے کہ دو جعلی TLS سرٹیفکیٹ کچھ منٹ پہلے بنائے گئے تھے - 18 جولائی کو 12:49 اور 12:38 پر۔
اس کے علاوہ، متبادل نہ صرف Hetzner فراہم کنندہ کے نیٹ ورک میں کیا گیا تھا، جو مرکزی سرور کی میزبانی کرتا ہے، بلکہ Linode فراہم کنندہ کے نیٹ ورک میں بھی، جس نے VPS ماحولیات کو معاون پراکسیوں کے ساتھ میزبانی کیا جو دوسرے پتوں سے ٹریفک کو ری ڈائریکٹ کرتا ہے۔ بالواسطہ طور پر، یہ پایا گیا کہ دونوں فراہم کنندگان کے نیٹ ورکس میں نیٹ ورک پورٹ 5222 (XMPP STARTTLS) کی ٹریفک کو ایک اضافی میزبان کے ذریعے ری ڈائریکٹ کیا گیا تھا، جس نے یہ یقین کرنے کی وجہ دی کہ حملہ فراہم کنندگان کے انفراسٹرکچر تک رسائی رکھنے والے شخص نے کیا تھا۔
نظریاتی طور پر، متبادل 18 اپریل (jabber.ru کے لیے پہلے جعلی سرٹیفکیٹ کی تخلیق کی تاریخ) سے عمل میں لایا جا سکتا تھا، لیکن سرٹیفکیٹ کے متبادل کے تصدیق شدہ کیسز صرف 21 جولائی سے 19 اکتوبر تک ریکارڈ کیے گئے، اس تمام عرصے میں انکرپٹڈ ڈیٹا کا تبادلہ ہوا۔ jabber.ru اور xmpp.ru کے ساتھ سمجھوتہ سمجھا جا سکتا ہے۔ تحقیقات شروع ہونے کے بعد متبادل روک دیا گیا، ٹیسٹ کیے گئے اور 18 اکتوبر کو فراہم کنندگان Hetzner اور Linode کی سپورٹ سروس کو ایک درخواست بھیجی گئی۔ ایک ہی وقت میں، لینوڈ میں سرورز میں سے ایک کے پورٹ 5222 پر بھیجے گئے پیکٹوں کو روٹنگ کرتے وقت ایک اضافی منتقلی آج بھی دیکھی جاتی ہے، لیکن سرٹیفکیٹ کو اب تبدیل نہیں کیا جاتا ہے۔
یہ خیال کیا جاتا ہے کہ حملہ قانون نافذ کرنے والے اداروں کی درخواست پر فراہم کنندگان کے علم کے ساتھ کیا گیا ہو گا، دونوں فراہم کنندگان کے بنیادی ڈھانچے کو ہیک کرنے کے نتیجے میں، یا کسی ایسے ملازم کی طرف سے جس کی دونوں فراہم کنندگان تک رسائی تھی۔ XMPP ٹریفک کو روکنے اور اس میں ترمیم کرنے کے قابل ہونے سے، حملہ آور اکاؤنٹ سے متعلق تمام ڈیٹا تک رسائی حاصل کر سکتا ہے، جیسے کہ سرور پر محفوظ کردہ پیغام رسانی کی سرگزشت، اور دوسروں کی جانب سے پیغامات بھی بھیج سکتا ہے اور دوسرے لوگوں کے پیغامات میں تبدیلیاں بھی کر سکتا ہے۔ اینڈ ٹو اینڈ انکرپشن (او ایم ای ایم او، او ٹی آر یا پی جی پی) کا استعمال کرتے ہوئے بھیجے گئے پیغامات کو سمجھوتہ نہیں کیا جا سکتا ہے اگر کنکشن کے دونوں طرف کے صارفین کے ذریعے انکرپشن کیز کی تصدیق کی جائے۔ Jabber.ru صارفین کو مشورہ دیا جاتا ہے کہ وہ اپنے رسائی کے پاس ورڈز کو تبدیل کریں اور ممکنہ متبادل کے لیے اپنے PEP اسٹوریج میں OMEMO اور PGP کیز کو چیک کریں۔
ماخذ: opennet.ru