Перейти к основному содержанию

Jabber.ru — атака MiTM

Jabber

Сегодня админ jabber.ru и xmpp.ru объявил о выявлении атаки типа MiTM, направленной на расшифровку трафика пользователей. Предположительно к атаке причастны немецкие хостинг-провайдеры Hetzner и Linode. Владельцы сервисов склонны предполагать, что это законный перехват, который Hetzner и Linode были вынуждены организовать по запросу немецкой полиции.

Все jabber.ru и xmpp.ru коммуникации с 18 апреля 2023 следует считать скомпрометированными. Пользователям предлагается проверить свои учетные записи на наличие новых несанкционированных ключей OMEMO и PGP в хранилище PEP, а также сменить пароли.

https://notes.valdikss.org.ru/jabber.ru-mitm/

jabber
 Дамп трафика на порту 5223, все данные нетронуты, как и должно быть.
jabber
Дамп трафика на порту 5222, соединение перехватывается на уровне приложения (L7), сервер получает от клиента замененное сообщение ClientHello
  • С 18 апреля 2023 года злоумышленнику удалось выпустить несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru
  • Атака MiTM для расшифровки XMPP-трафика клиентов jabber.ru и xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (не подтверждено) с 18 апреля 2023 г., затронула 100% подключений к порту XMPP STARTTLS 5222
  • Злоумышленнику не удалось перевыпустить TLS-сертификат, и MiTM-прокси начал обслуживать просроченный сертификат на порту 5222 для jabber.ru домена (Hetzner)
  • Атака MiTM прекратилась вскоре после того, как админы начали расследование и сетевое тестирование 18 октября 2023 года, вместе с тикетами в службу поддержки Hetzner и Linode, однако пассивное прослушка (дополнительный переход маршрутизации) все еще действует, по крайней мере, на одном сервере Linode
  • Ни один из серверов, похоже, не был взломан
  • И сеть Hetzner, и сеть Linode, по-видимому, были перенастроены специально для такого рода атак на IP-адреса сервиса XMPP

По состоянию на 20 октября 2023 года владельцы сервисов еще ждут адекватного ответа от Hetzner и Linode на запросы.

Теги

 

Похожие материалы

HPE — SSD диски перестают работать после 40000 часов

Снова проблема с SSD дисками HPE. На этот раз некоторые SSD модели выходят из строя после 40000 часов работы. Для устранения неполадки нужно обновить прошивку дисков.

Минцифры поддержит белых хакеров

Министерство цифрового развития решило поддержать белых хакеров. Минцифры совместно с ИБ компаниями в рамках импортозамещения  готовит план финансовой поддержки разработки отечественных решений в сфере ИБ.

Теги