Jabber serveri jabber.ru (xmpp.ru) ma'muri 90 kundan 6 oygacha bo'lgan vaqt oralig'ida Germaniyaning Hetzner va Linode hosting provayderlari tarmoqlarida foydalanuvchi trafigini (MITM) shifrlash hujumini aniqladi. loyiha serveri va yordamchi VPS muhiti. Hujum traffikni STARTTLS kengaytmasi yordamida shifrlangan XMPP ulanishlari uchun TLS sertifikati oʻrnini bosuvchi tranzit tuguniga yoʻnaltirish orqali tashkil etiladi.
Hujum uning tashkilotchilarining xatosi tufayli sezildi, ular firibgarlik uchun foydalanilgan TLS sertifikatini yangilashga ulgurmadilar. 16-oktabr kuni jabber.ru ma’muri xizmatga ulanishga urinayotganda sertifikatning amal qilish muddati tugaganligi sababli xato xabari oldi, biroq serverda joylashgan sertifikatning amal qilish muddati tugamagan. Natijada mijoz olgan sertifikat server yuborgan sertifikatdan farqli ekani ma’lum bo‘ldi. Birinchi soxta TLS sertifikati 18-yil 2023-aprelda Let's Encrypt xizmati orqali olingan bo‘lib, unda tajovuzkor trafikni to‘xtatib, jabber.ru va xmpp.ru saytlariga kirishni tasdiqlay olgan.
Dastlab, loyiha serveri buzilgan va uning tomonida almashtirish amalga oshirilgan degan taxmin bor edi. Ammo audit hech qanday xakerlik izlarini aniqlamadi. Shu bilan birga, serverdagi jurnalda 18 iyul kuni soat 12:58 da amalga oshirilgan tarmoq interfeysining qisqa muddatli o'chirilishi va yoqilishi (NIC Link is Down/NIC Link is Up) qayd etilgan. serverning kommutatorga ulanishi bilan manipulyatsiyalarni ko'rsating. E’tiborlisi, ikkita soxta TLS sertifikati bundan bir necha daqiqa oldin – 18 iyul kuni soat 12:49 va 12:38 da yaratilgan.
Bundan tashqari, almashtirish nafaqat asosiy serverga ega bo'lgan Hetzner provayderi tarmog'ida, balki boshqa manzillardan trafikni yo'naltiruvchi yordamchi proksi-serverlar bilan VPS muhitlarini joylashtirgan Linode provayderi tarmog'ida ham amalga oshirildi. Bilvosita, ikkala provayderning tarmoqlarida 5222-tarmoq portiga (XMPP STARTTLS) trafik qo‘shimcha xost orqali yo‘naltirilgani aniqlandi, bu esa hujumni provayderlar infratuzilmasiga kirish huquqiga ega bo‘lgan shaxs amalga oshirgan deb hisoblashga asos bo‘ldi.
Nazariy jihatdan, almashtirish 18 apreldan (jabber.ru uchun birinchi soxta sertifikat yaratilgan sana) amalga oshirilishi mumkin edi, ammo sertifikat almashtirishning tasdiqlangan holatlari faqat 21 iyuldan 19 oktyabrgacha qayd etilgan, shu vaqt ichida ma'lumotlar almashinuvi shifrlangan. jabber.ru va xmpp.ru bilan buzilgan deb hisoblash mumkin. Tergov boshlanganidan keyin almashtirish to'xtatildi, testlar o'tkazildi va 18 oktyabr kuni Hetzner va Linode provayderlarini qo'llab-quvvatlash xizmatiga so'rov yuborildi. Shu bilan birga, Linode serverlaridan birining 5222 portiga yuborilgan paketlarni marshrutlashda qo'shimcha o'tish bugungi kunda ham kuzatilmoqda, ammo sertifikat endi almashtirilmaydi.
Taxminlarga ko‘ra, hujum huquq-tartibot idoralari talabiga ko‘ra provayderlarning xabardorligi bilan, ikkala provayderning infratuzilmasini buzish natijasida yoki ikkala provayderga kirish huquqiga ega bo‘lgan xodim tomonidan amalga oshirilgan bo‘lishi mumkin. XMPP trafigini ushlab turish va oʻzgartirish imkoniyatiga ega boʻlgan tajovuzkor serverda saqlangan xabar almashish tarixi kabi hisob bilan bogʻliq barcha maʼlumotlarga kirish huquqiga ega boʻlishi, shuningdek, boshqalar nomidan xabarlar yuborishi va boshqa odamlarning xabarlariga oʻzgartirishlar kiritishi mumkin edi. Bitta-end shifrlash (OMEMO, OTR yoki PGP) yordamida yuborilgan xabarlar, agar shifrlash kalitlari ulanishning har ikki tomonidagi foydalanuvchilar tomonidan tekshirilsa, buzilmagan deb hisoblanadi. Jabber.ru foydalanuvchilariga kirish parollarini o'zgartirish va o'zlarining PEP omborlaridagi OMEMO va PGP kalitlarini almashtirish ehtimoli borligini tekshirish tavsiya etiladi.
Manba: opennet.ru