Перейти к основному содержанию

Jabber.ru — атака MiTM

Jabber

Сегодня админ jabber.ru и xmpp.ru объявил о выявлении атаки типа MiTM, направленной на расшифровку трафика пользователей. Предположительно к атаке причастны немецкие хостинг-провайдеры Hetzner и Linode. Владельцы сервисов склонны предполагать, что это законный перехват, который Hetzner и Linode были вынуждены организовать по запросу немецкой полиции.

Все jabber.ru и xmpp.ru коммуникации с 18 апреля 2023 следует считать скомпрометированными. Пользователям предлагается проверить свои учетные записи на наличие новых несанкционированных ключей OMEMO и PGP в хранилище PEP, а также сменить пароли.

https://notes.valdikss.org.ru/jabber.ru-mitm/

jabber
 Дамп трафика на порту 5223, все данные нетронуты, как и должно быть.
jabber
Дамп трафика на порту 5222, соединение перехватывается на уровне приложения (L7), сервер получает от клиента замененное сообщение ClientHello
  • С 18 апреля 2023 года злоумышленнику удалось выпустить несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru
  • Атака MiTM для расшифровки XMPP-трафика клиентов jabber.ru и xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (не подтверждено) с 18 апреля 2023 г., затронула 100% подключений к порту XMPP STARTTLS 5222
  • Злоумышленнику не удалось перевыпустить TLS-сертификат, и MiTM-прокси начал обслуживать просроченный сертификат на порту 5222 для jabber.ru домена (Hetzner)
  • Атака MiTM прекратилась вскоре после того, как админы начали расследование и сетевое тестирование 18 октября 2023 года, вместе с тикетами в службу поддержки Hetzner и Linode, однако пассивное прослушка (дополнительный переход маршрутизации) все еще действует, по крайней мере, на одном сервере Linode
  • Ни один из серверов, похоже, не был взломан
  • И сеть Hetzner, и сеть Linode, по-видимому, были перенастроены специально для такого рода атак на IP-адреса сервиса XMPP

По состоянию на 20 октября 2023 года владельцы сервисов еще ждут адекватного ответа от Hetzner и Linode на запросы.

Теги

 

Похожие материалы