据The Hacker News消息,一名安全研究人员近日声称,他发现有人试图利用托管在德国Hetzner和Linode(Akamai的子公司)的服务器,秘密拦截来自基于XMPP的即时消息服务jabber[.]ru(又名xmpp[.]ru)的流量。
XMPP是一种以XML为基础的开放式即时通信协议,具有超强的可扩展性。经过扩展后的XMPP可以通过发送扩展的信息来处理用户需求,以及在XMPP的顶端建立如内容发布系统和基于地址的服务等应用程序。
这位化名为 ValdikSS 的安全研究人员表示:攻击者使用 Let's Encrypt 服务发布了几个新的 TLS 证书,这些证书被用于使用透明中间人攻击(MITM)代理,劫持 5222 端口上的加密 STARTTLS 连接。这次攻击是由于其中一个 MiTM 证书过期而被发现的,该证书尚未重新认证。
目前收集到的证据表明,流量重定向是在上述托管服务提供商网络上配置,排除了如服务器漏洞或诱骗攻击等其他可能性。研究人员已经证实的窃听活动至少从 2023 年 7 月 21 日开始,一直持续到 2023 年 10 月 19 日。但攻击者的首次窃听活动可能从 2023 年 4 月 18 日就已开始。
而攻击者的行迹首次暴露于 2023 年 10 月 16 日,当时一名 UNIX 管理员在连接该服务时收到了一条 "证书已过期 "的消息。据了解,在 2023 年 10 月 18 日开始调查这起MITM攻击事件后,攻击者停止了活动。目前还不清楚谁是这次攻击的幕后黑手。有专家认为,这起攻击是对 Hetzner 和 Linode 内部网络的入侵,特别是针对 jabber[.]ru。
研究人员说表示,鉴于拦截的性质,攻击者能够在不知道账户密码的情况下执行任何操作,这意味着攻击者可以下载账户名册、未加密的服务器端消息历史记录、发送新消息或实时更改消息。
The Hacker News建议该服务的用户检查他们账户中的 PEP 存储是否有新的未经授权的 OMEMO 和 PGP 密钥,并更改密码。
公民实验室(The Citizen Lab)详细介绍了移动网络运营商用于国际漫游的信令协议中存在的安全漏洞,监控人员、执法人员和有组织犯罪团伙可以利用这些漏洞对设备进行地理定位。
更有甚者,解析 ASN.1 消息的漏洞(CVE-2022-43677,CVSS 得分:5.5)可能被用作攻击载体,从用户平面跨越到控制平面,甚至破坏依赖于 5G 技术的关键基础设施。趋势科技研究员 Salim S.I. 在本月发布的一份报告中表示,CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 实现,通过用户流量触发控制平面拒绝服务(DoS)。
对核心数据包的DoS 攻击会破坏整个网络的连接。在国防、警务、采矿和交通管制等关键领域,连接中断可能导致可怕的后果。
参考链接:https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html
