LINUX.ORG.RU

MITM-атака на JABBER.RU и XMPP.RU

 , ,

MITM-атака на JABBER.RU и XMPP.RU

4

8

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.

Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.

Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от alex1101

Опять реальность не сошлась с розовой теорией, в которой мир основан на правилах и так далее по тексту.

Вот тут обнаружилось, что у сертификатов установлен notAfter на 30 ноября 2022 года, как и ожидается. Так что, увы, теория заговора опять не оправдалась.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Если https://crt.sh/?caid=12196 тебя не убеждает, то для end-to-end проверки нужно иметь сертификат с приватным ключом, выпущенный цепочкой от TrustCor, поставить его на web сервер и открыть в браузере - он не должен быть доверенным.

Идея, конечно, хороша. TrustCor, скорее всего, просто перестал выпускать новые сертификаты, ему-то это зачем)

Хотелось бы, чтобы проверки сроков действия были прямо в OpenSSL и прямо в Firefox, но это тема для отдельного обсуждения.

В целом, спасибо за за науку.

Aceler ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.