GN⁺: Hetzner 및 Linode에서 암호화된 트래픽이 Jabber 서비스를 대상으로 가로채기

 (notes.valdikss.org.ru)
1P by neo 2023-10-21 | favorite | 댓글 1개
  • Hetzner 및 Linode에서 가장 큰 러시아 XMPP(Jabber) 메시징 서비스를 대상으로 한 암호화된 트래픽 간섭에 대한 기사
  • 중간자(MiTM) 인증서 중 하나의 만료로 인해 발견된 간섭
  • 서버 침해 또는 스푸핑 공격의 징후 없이 호스팅 제공업체 네트워크에 트래픽 리디렉션이 구성됨
  • 도청은 최대 6개월 동안 지속되었을 수 있으며, 90일은 확인됨
  • Hetzner와 Linode가 설정해야 했던 합법적인 간섭으로 공격이 추정됨
  • "인증서가 만료되었습니다"라는 메시지를 본 경험 많은 UNIX 관리자가 간섭을 발견함
  • 암호화된 통신을 가로채는 중간자 공격으로 공격이 확인됨
  • 공격자는 2023년 4월 18일 이후 jabber.ru 및 xmpp.ru 도메인에 대해 Let’s Encrypt를 통해 여러 SSL/TLS 인증서를 발급함
  • 2023년 10월 18일에 조사가 시작되고 네트워크 테스트가 진행된 직후 MiTM 공격이 중단됨
  • 이 기간 동안의 모든 jabber.ru 및 xmpp.ru 통신은 침해되었다고 가정해야 함
  • 사용자들은 새로운 무단 OMEMO 및 PGP 키가 PEP 저장소에 있는지 확인하고 비밀번호를 변경하라는 요청
  • 인증서 투명성 모니터링 구성, 검증 방법 제한, 모든 서비스에서 SSL/TLS 인증서 변경 모니터링, 기본 게이트웨이의 MAC 주소 변경 모니터링 등 이러한 종류의 공격을 방지하거나 모니터링하는 여러 방법을 제안하는 기사
neo 2023-10-21  [-]
Hacker News 의견
  • Hetzner & Linode에서 Jabber 서비스를 대상으로 한 암호화된 트래픽 가로채기에 대한 기사
  • mTLS (aka zero-trust) 사용이 이런 종류의 MITM (Man-in-the-Middle) 공격을 방지할 수 있다는 일부 댓글
  • Tor 양파 서비스, SSH, Wireguard와 같은 신뢰할 수 있는 CA에 의존하지 않는 추가적인 인증 메커니즘을 적용하는 고위험 대상에 대한 제안
  • 모든 서비스에서 SSL/TLS 인증서 변경을 외부 서비스를 사용하여 모니터링하는 중요성 강조
  • 공격이 러시아 사이버 범죄 조사와 관련이 있을 수 있다는 일부 댓글
  • OMEMO, OTR 또는 PGP와 같은 종단 간 암호화 통신의 사용이 가로채기에 대한 보호 방법으로 논의됨
  • 블루필 공격 가능성에 대한 추측, xmpp 서버의 취약점이 루트킷을 주입하는 데 이용됨
  • Jabber가 암시장에서 불법 활동을 위해 사용되기 때문에 대상이 되고 있다는 일부 댓글
  • 암호화를 단순히 신뢰하는 것이 아니라 메시지에 PGP를 사용해야 한다는 필요성 강조
  • 미래에 양자 컴퓨터에 의해 PGP가 깨질 가능성에 대한 질문 제기
답변달기