Новости Хакеры несколько месяцев прослушивали зашифрованный трафик в сети Jabber

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Подробности атаки и как защитить свой аккаунт.


r3788ymvw2p6zi2c0g8gpryyfa4oyv5w.jpg


20 октября 2023 года администратор jabber.ru (xmpp.ru) Для просмотра ссылки Войди или Зарегистрируйся атаку на протокол обмена мгновенными сообщениями XMPP (Jabber) с зашифрованным прослушиванием TLS-соединений (атака «Человек посередине») серверов службы jabber.ru (также известной как xmpp.ru) у хостинг-провайдеров Hetzner и Linode в Германии, где размещены сервер проекта и вспомогательные VPS-окружения. Атакующие перенаправляли трафик на транзитный узел, который подменял TLS-сертификат для XMPP-соединений, используя расширение STARTTLS.

Неизвестные участники атаки создали отдельный SSL сертификат и проксировали соединения к TCP:5222. Атака была выявлена благодаря ошибке атакующих, которые не продлили TLS-сертификат. Администратор jabber.ru при попытке подключения к сервису столкнулся с ошибкой, связанной с истекшим сроком действия сертификата.

Поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt. Атакующие, имея возможность перехватить трафик к сайтам jabber.ru и xmpp.ru. Первоначально существовали опасения о компрометации сервера проекта, однако аудит не выявил следов взлома.

Также было обнаружено, что подмена производилась не только в сети провайдера Hetzner, но и в сети провайдера Linode. Трафик на 5222 сетевой порт в сетях обоих провайдеров перенаправлялся через дополнительный хост. Это дало основание полагать, что атака могла быть организована лицом, имеющим доступ к инфраструктуре провайдеров.

Подмена сертификата прекратилась после начала разбирательства и обращения к службам поддержки провайдеров. Команда проекта предполагает, что атака могла быть совершена с ведома провайдеров под контролем спецслужб, в результате взлома их инфраструктур или сотрудником, имевшим доступ к обоим провайдерам.

Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP на предмет возможной подмены.
 
Источник новости
www.securitylab.ru

Похожие темы