井底圈小蛙
关注科技圈

jabber.ru/xmpp.ru遭受中间人攻击,疑似机房配合德国警方实施

jabber.ru(又名 xmpp.ru)是2000年建立的最古老的俄罗斯XMPP服务,最近,jabber.ru经验丰富的管理员oxpa发现,在其位于德国HetznerLinode服务器托管提供商上发现了针对XMPP(Jabber)即时消息协议的加密TLS连接窃听(中间人攻击)。

oxpa在2023年10月16日连接到该XMPP服务时对“证书已过期”消息感到困惑。所有证书似乎都是最新的服务器,但与端口5222 (XMPP STARTTLS) 的连接向客户端提供了过时的证书。在其他专业人员和软件作者的帮助下,对ejabberd进行各种软件、网络和配置检查时,发现:

  • 该软件在网络流量中提供正确的、未过期的证书;
  • 服务器上不存在过期的证书;
  • 该过期证书基于其他私钥并且从未由服务器授权的acme.sh证书颁发脚本颁发;
  • 连接到5222端口的TCP连接被更改;
  • 在其他非5222端口(例如5223 XMPP TLS 端口)上未观察到此行为;
  • 受影响的机器是Hetzner上的专用服务器和Linode上的两个虚拟服务器,全部托管在德国。

经测试并对XMPP的流量进行抓包分析,5223端口上的所有数据都完好无损,但5222端口上的连接在应用程序级别(L7)被劫持,它们具有不同的源端口、SEQ/ACK 编号,并且似乎在没有任何中间路由跃点的情况下到达 (TTL=64),服务器从客户端接收替换的ClientHello消息。很明显,5222端口上的连接受到中间人攻击,该攻击会拦截加密通信。

并且,与常规的Linode实例相比,受影响的Linode虚拟机具有不常见的网络设置,可能已被隔离到单独的VLAN中。

在检查crt.sh证书透明度数据库后,发现了并非由任何jabber.ru服务器颁发的恶意证书。

jabber.ru正常的XMPP服务使用两种正版证书:一种是为 颁发的xmpp.ru, *.xmpp.ru,另一种是为jabber.ru, *.jabber.ru.

恶意颁发的证书与这些域名的常规证书略有不同:要么缺少通配符主题备用名称,要么为这两个域颁发了单个证书jabber.ru, xmpp.ru。此外,xmpp.ru域名(指向 Linode 服务器)上的MiTM配置略有错误:它仅提供xmpp.ru证书,但原始服务器被配置为根据请求的XMPP域名提供对应的jabber.ru证书或者xmpp.ru证书。

根据外部网络探测的信息确认,Linode服务器至少从2023年7月21日起就开始在端口5222上提供证书。

根据分析得出结论:

自2023年4月18日起,攻击者设法通过Let's Encrypt为jabber.ru和xmpp.ru域名颁发了多个SSL/TLS 证书,这些证书用于使用透明MiTM代理劫持5222端口上的加密STARTTLS连接。

针对jabber.ru/xmpp.ru客户端XMPP流量解密的中间人攻击已确认至少自2023年7月21日起持续到2023年10月19日,可能(未确认)自2023年4月18日起开始攻击,该XMPP服务的5222端口(不是5223)的STARTTLS连接100%受到窃听影响。窃听总共可能持续长达6个月(已确认90天)。

由于Let's Encrypt颁发的证书有效期通常为3个月,其中一个攻击用的MiTM证书因未及时更新(重新颁发)而过期,从而导致该攻击被发现。在jabber.ru管理员于2023年10月18日开始调查和网络测试后不久,MiTM攻击就停止了。

可以确认的是,jabber.ru的两台服务器都没有被黑客入侵,也没有迹象表明该网段存在服务器漏洞或欺骗攻击,恰恰相反:流量重定向已在托管提供商网络上配置。

Hetzner和Linode两个IDC似乎都是专门针对此类XMPP服务的IP地址进行了网络的重新配置,因此可以认为这是Hetzner和Linode根据德国警方的要求被迫设置的合法拦截。

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《jabber.ru/xmpp.ru遭受中间人攻击,疑似机房配合德国警方实施》
文章链接:https://www.qxwa.com/man-in-the-middle-attack-on-jabber-ru-xmpp-ru-suspected-to-have-been-carried-out-by-idc-in-cooperation-with-german-police.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们