Jabber 伺服器jabber.ru (xmpp.ru) 的管理員發現了一次解密使用者流量(MITM) 的攻擊,該攻擊在德國託管供應商Hetzner 和Linode 的網路中進行了90 天到6 個月的時間,這兩家公司託管了專案伺服器及輔助VPS.環境。 該攻擊是透過將流量重定向到傳輸節點來組織的,該節點取代使用 STARTTLS 擴展加密的 XMPP 連接的 TLS 憑證。
這次攻擊之所以引起關注,是因為其組織者犯了一個錯誤,他們沒有時間更新用於欺騙的 TLS 憑證。 16 月 18 日,jabber.ru 的管理員在嘗試連線服務時收到一則由於憑證過期而導致的錯誤訊息,但位於伺服器上的憑證並未過期。 結果發現客戶端收到的憑證和伺服器發送的憑證不一樣。 第一個偽造的 TLS 憑證是於 2023 年 XNUMX 月 XNUMX 日透過 Let's Encrypt 服務獲得的,其中攻擊者能夠攔截流量,從而能夠確認對 jabber.ru 和 xmpp.ru 網站的訪問。
起初,人們認為專案伺服器已被入侵,並且正在對其進行替換。 但審計並未發現任何駭客攻擊的痕跡。 同時,在伺服器日誌中發現網路介面短暫開關(NIC Link is Down/NIC Link is Up),該事件發生於18月12日58點18分,可指示透過伺服器與交換器的連接進行的操作。 值得注意的是,兩個假 TLS 憑證是在幾分鐘前產生的 - 12 月 49 日 12:38 和 XNUMX:XNUMX。
此外,替換不僅在託管主伺服器的 Hetzner 提供者的網路中進行,而且也在 Linode 提供者的網路中進行,該提供者託管具有輔助代理的 VPS 環境,可重定向來自其他位址的流量。 間接地,我們發現兩個提供者網路中的網路連接埠5222 (XMPP STARTTLS) 的流量透過另一台主機進行重定向,這讓我們有理由相信攻擊是由有權訪問提供者基礎設施的人發起的。
理論上,替換可以從18 月21 日(jabber.ru 第一個假證書的創建日期)開始進行,但僅在19 月18 日至5222 月XNUMX 日期間記錄了已確認的證書替換案例,這段時間都是加密資料交換jabber.ru 和 xmpp.ru 可以被認為受到了損害。 調查開始後,替換停止,進行了測試,並於 XNUMX 月 XNUMX 日向提供者 Hetzner 和 Linode 的支援服務發送了請求。 同時,今天仍然觀察到將封包傳送到 Linode 中一台伺服器的連接埠 XNUMX 時發生的額外轉換,但憑證不再被取代。
據推測,攻擊可能是應執法機構的要求,在提供者知情的情況下進行的,因為攻擊了兩個提供者的基礎設施,或者是由有權訪問這兩個提供者的員工發起的。 透過攔截和修改 XMPP 流量,攻擊者可以獲得對所有帳戶相關資料的存取權限,例如伺服器上儲存的訊息歷史記錄,還可以代表其他人發送訊息並更改其他人的消息。 如果連接雙方的使用者都驗證了加密金鑰,則可以認為使用端對端加密(OMEMO、OTR 或 PGP)發送的訊息未受到損害。 建議 Jabber.ru 使用者更改其存取密碼並檢查其 PEP 儲存中的 OMEMO 和 PGP 金鑰是否有可能替換。
來源: opennet.ru