官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
新的发现表明有人试图通过托管在德国Hetzner和Linode(Akamai的子公司)的服务器,秘密拦截来自基于XMPP的即时消息服务jabber[.]ru(又名xmpp[.]ru)的流量。
一位化名为 ValdikSS 的安全研究人员本周早些时候表示:攻击者使用 Let's Encrypt 服务发布了几个新的 TLS 证书,这些证书被用于使用透明(中间人)代理劫持 5222 端口上的加密 STARTTLS 连接。这次攻击是由于其中一个 MiTM 证书过期而被发现的,该证书尚未重新认证。
目前收集到的证据表明,流量重定向是在托管服务提供商网络上配置的,排除了其他可能性,例如服务器漏洞或诱骗攻击。据估计,窃听活动从 2023 年 4 月 18 日开始,持续了长达六个月的时间,已经证实至少从 2023 年 7 月 21 日开始,一直持续到 2023 年 10 月 19 日。
可疑活动的迹象于 2023 年 10 月 16 日首次被发现,当时该服务的一名 UNIX 管理员在连接该服务时收到了一条 "证书已过期 "的消息。据了解,在 2023 年 10 月 18 日开始调查 MiTM 事件后,威胁行为者停止了活动。目前还不清楚谁是这次攻击的幕后黑手。有专家认为,MiTM 攻击是对 Hetzner 和 Linode 内部网络的入侵,特别是针对 jabber[.]ru。
研究人员说:鉴于拦截的性质,攻击者能够在不知道账户密码的情况下执行任何操作,这意味着攻击者可以下载账户名册、终身未加密的服务器端消息历史记录、发送新消息或实时更改消息。
我们建议该服务的用户假定他们在过去 90 天内的通信已被泄露,并检查他们账户中的 PEP 存储中是否有新的未经授权的 OMEMO 和 PGP 密钥,并更改密码。公民实验室(The Citizen Lab)详细介绍了移动网络运营商用于国际漫游的信令协议中存在的安全漏洞,监控人员、执法人员和有组织犯罪团伙可以利用这些漏洞对设备进行地理定位。
更有甚者,解析 ASN.1 消息的漏洞(CVE-2022-43677,CVSS 得分:5.5)可能被用作攻击载体,从用户平面跨越到控制平面,甚至破坏依赖于 5G 技术的关键基础设施。趋势科技研究员 Salim S.I. 在本月发布的一份报告中说:CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 实现,通过用户流量触发控制平面拒绝服务(DoS)。
对数据包核心的成功 DoS 攻击会破坏整个网络的连接。在国防、警务、采矿和交通管制等关键领域,连接中断可能导致可怕的后果。
参考链接:https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html