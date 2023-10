ドイツのクラウドサービス「Hetzner」およびAkamaiが提供するクラウドサービス「Linode」上でホストされているロシア最大の XMPP メッセージサービス「jabber.ru(別名:xmpp.ru)」に対して中間者攻撃が仕掛けられており、少なくとも90日間の通信内容が傍受されていることが発覚しました。 Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service — https://notes.valdikss.org.ru/jabber.ru-mitm/ 2023年10月16日にjabber.ruの管理人であるoxpaさんが「証明書の有効期限が切れました」というメッセージを受け取り調査を行ったところ、サーバーに設置してある証明書は全て有効期限が更新されているにもかかわらず、XMPPの STARTTLS を使った接続を待ち受けるポート「5222」への接続に対して有効期限が切れた証明書が返ってきていました。 oxpaさんを含めた複数人による調査の結果、下記の事実が判明しました。 ・サーバーは適切な有効期限内の証明書をネットワークに送信している ・有効期限切れの証明書はサーバー内に存在しない ・有効期限切れの証明書は他人の秘密鍵に基づいており、サーバーの証明書発行スクリプトで発行されたものではない また、5222番ポートへのTCP接続が改変されており、送信元ポート番号やSEQ/ACK番号が異なっていました。さらにサーバー側で受け取ったパケットのTTLの数値が64となっていて、一切ルーターを経由せずにデータが送信されてきていることが分かります。

◆関連記事

独裁国家が政府認証のルート証明書導入を国民に強制、ISPによる中間者攻撃も確認される - GIGAZINE



iPhoneを実際に攻撃するゼロデイエクスプロイトチェーンが発見される、できる限り早くアップデート行う必要あり - GIGAZINE



CIAのハッキングツール「Archimedes」についての情報をWikiLeaksが公開 - GIGAZINE



ルーター・NAS経由でトラフィックを傍受したり中間者攻撃を仕掛けるマルウェア「VPNFilter」の被害が拡大中 - GIGAZINE



HTTPSで保護されているはずの通信を傍受できる脆弱性「Forbidden Attack(禁断の攻撃)」はVISA関連サイトなど複数で利用可能 - GIGAZINE

2023年10月23日 12時10分00秒 in セキュリティ, Posted by log1d_ts

You can read the machine translated English article here.