新的发现揭示了一种据说是秘密拦截源自jabber[.]ru(又名xmpp[.]ru)的流量的合法企图。jabber[.]ru是一种基于xmpp的即时消息服务,通过Hetzner和Linode(Akamai的子公司)在德国的服务器上托管。
本周早些时候,一位名叫ValdikSS的安全研究人员表示:“攻击者使用”让我们加密服务“发出了几个新的TLS证书,这些证书被用来利用透明的[中间人]代理攻击端口5222上的加密STARTTLS连接。”
“这次攻击是由于一个MiTM证书过期而被发现的,该证书没有被重新颁发。”
到目前为止收集到的证据表明,流量重定向是在托管服务提供商网络上配置的,排除了其他可能性,如服务器漏洞或欺骗攻击。
据估计,窃听从2023年4月18日开始,持续了6个月之久,但已证实至少从2023年7月21日开始,直到2023年10月19日。
2023年10月16日,该服务的一个UNIX管理员在连接到该服务时收到一条“证书已过期”的消息,首次检测到可疑活动的迹象。
据信,在2023年10月18日开始对MiTM事件进行调查后,威胁行为人已经停止了活动。目前还不清楚谁是这次攻击的幕后黑手,但怀疑这是一起应德国警方要求进行的合法拦截。
另一个假设(尽管不太可能,但并非不可能)是, MiTM 攻击是对 Hetzner 和 Linode 的内部网络的入侵,特别是针对 jabber [.] ru 。
“考虑到拦截的性质,攻击者能够执行任何行动,就好像它是从授权账户执行的,而不知道帐户密码,”这名研究人员说。
“这意味着攻击者可以下载该帐户的花名册、终身未加密的服务器端消息历史、发送新消息或实时更改它们。”
Hacker News已经联系了Akamai和Hetzner寻求进一步的评论,如果收到回复,我们将更新相关报道。
该服务的用户被建议假设他们在过去90天的通信被泄露,以及“检查他们的帐户在他们的PEP存储新的未经授权的OMEMO和PGP密钥,并更改密码。”
这一进展表明,公民实验室详细介绍了移动网络运营商用于国际漫游的信号协议存在的安全缺陷,监控行为体、执法部门和有组织犯罪集团可以利用这些缺陷来定位设备。
此外,解析ASN.1消息时的漏洞(CVE-2022-43677,CVSS得分:5.5)可能会被武器化为攻击向量,从用户平面跨越到控制平面,甚至破坏依赖5G技术的关键基础设施。
趋势科技研究员Salim S.I.在本月发布的一份报告中表示:“CVE-2022-43677漏洞利用free5gc中的弱CUPS实现,通过用户流量触发控制平面拒绝服务(DoS)。”。
“对数据包核心的成功DoS攻击会破坏整个网络的连接。在国防、警务、采矿和交通控制等关键部门,连接中断可能会导致可怕的后果。在使用实时传感器进行制造的工厂中,这可能会导致产生有缺陷的产品。”