HetznerとLinodeでJabberサービスを標的に暗号化トラフィックが傍受される

 (notes.valdikss.org.ru)
1 ポイント 投稿者 GN⁺ 2023-10-21 | 1件のコメント | WhatsAppで共有
  • HetznerとLinodeで、ロシア最大級のXMPP(Jabber)メッセージングサービスを標的にした暗号化トラフィック干渉に関する記事
  • 中間者(MiTM)証明書の1つの期限切れをきっかけに干渉が発覚
  • サーバー侵害やスプーフィング攻撃の兆候はなく、ホスティング事業者のネットワーク内でトラフィックのリダイレクトが構成されていた
  • 盗聴は最長6か月続いていた可能性があり、90日間は確認済み
  • HetznerとLinodeが設定を求められた正当な干渉である可能性が高く、これが攻撃だと推定
  • 「証明書の有効期限が切れています」というメッセージを見た経験豊富なUNIX管理者が干渉を発見
  • 暗号化通信を傍受する中間者攻撃として攻撃が確認された
  • 攻撃者は2023年4月18日以降、jabber.ruおよびxmpp.ruドメインに対してLet’s Encrypt経由で複数のSSL/TLS証明書を発行していた
  • 2023年10月18日に調査が始まり、ネットワークテストが行われた直後にMiTM攻撃は停止した
  • この期間中のjabber.ruおよびxmpp.ruのすべての通信は侵害されたとみなすべき
  • ユーザーには、PEPストレージに新しい未承認のOMEMOおよびPGP鍵がないか確認し、パスワードを変更するよう要請
  • 証明書透明性の監視設定、検証方法の制限、すべてのサービスにおけるSSL/TLS証明書変更の監視、デフォルトゲートウェイのMACアドレス変更の監視など、この種の攻撃を防止または監視する複数の方法を提案する記事

関連記事

1件のコメント

 
GN⁺ 2023-10-21
Hacker Newsのコメント
  • Hetzner と Linode で Jabber サービスを標的にした暗号化トラフィックの傍受に関する記事
  • mTLS(別名 zero-trust)の利用により、この種の MITM(Man-in-the-Middle)攻撃を防げる可能性があるというコメントもある
  • Tor オニオンサービス、SSH、Wireguard のように信頼された CA に依存しない追加の認証メカニズムを、高リスク対象へ適用すべきだという提案
  • すべてのサービスで SSL/TLS 証明書の変更を外部サービスを使って監視する重要性を強調
  • この攻撃はロシアのサイバー犯罪捜査に関連している可能性があるというコメントもある
  • OMEMO、OTR、PGP のようなエンドツーエンド暗号化通信の利用が、傍受への防御策として議論されている
  • ブルーピル攻撃の可能性についての推測や、xmpp サーバーの脆弱性がルートキット注入に悪用されたという見方
  • Jabber が闇市場で違法活動に使われているため標的になっているというコメントもある
  • 暗号化をただ信頼するのではなく、メッセージに PGP を使う必要性を強調
  • 将来的に量子コンピューターによって PGP が破られる可能性についての疑問も提起されている