據(jù)The Hacker News消息，一名安全研究人員近日聲稱(chēng)，他發(fā)現(xiàn)有人試圖利用托管在德國(guó)Hetzner和Linode（Akamai的子公司）的服務(wù)器，秘密攔截來(lái)自基于XMPP的即時(shí)消息服務(wù)jabber[.]ru（又名xmpp[.]ru）的流量。

XMPP是一種以XML為基礎(chǔ)的開(kāi)放式即時(shí)通信協(xié)議，具有超強(qiáng)的可擴(kuò)展性。經(jīng)過(guò)擴(kuò)展后的XMPP可以通過(guò)發(fā)送擴(kuò)展的信息來(lái)處理用戶(hù)需求，以及在XMPP的頂端建立如內(nèi)容發(fā)布系統(tǒng)和基于地址的服務(wù)等應(yīng)用程序。

這位化名為 ValdikSS 的安全研究人員表示：攻擊者使用 Let's Encrypt 服務(wù)發(fā)布了幾個(gè)新的 TLS 證書(shū)，這些證書(shū)被用于使用透明中間人攻擊（MITM）代理，劫持 5222 端口上的加密 STARTTLS 連接。這次攻擊是由于其中一個(gè) MiTM 證書(shū)過(guò)期而被發(fā)現(xiàn)的，該證書(shū)尚未重新認(rèn)證。

目前收集到的證據(jù)表明，流量重定向是在上述托管服務(wù)提供商網(wǎng)絡(luò)上配置，排除了如服務(wù)器漏洞或誘騙攻擊等其他可能性。研究人員已經(jīng)證實(shí)的竊聽(tīng)活動(dòng)至少?gòu)?2023 年 7 月 21 日開(kāi)始，一直持續(xù)到 2023 年 10 月 19 日。但攻擊者的首次竊聽(tīng)活動(dòng)可能從 2023 年 4 月 18 日就已開(kāi)始。

而攻擊者的行跡首次暴露于 2023 年 10 月 16 日，當(dāng)時(shí)一名 UNIX 管理員在連接該服務(wù)時(shí)收到了一條 "證書(shū)已過(guò)期 "的消息。據(jù)了解，在 2023 年 10 月 18 日開(kāi)始調(diào)查這起MITM攻擊事件后，攻擊者停止了活動(dòng)。目前還不清楚誰(shuí)是這次攻擊的幕后黑手。有專(zhuān)家認(rèn)為，這起攻擊是對(duì) Hetzner 和 Linode 內(nèi)部網(wǎng)絡(luò)的入侵，特別是針對(duì) jabber[.]ru。

研究人員說(shuō)表示，鑒于攔截的性質(zhì)，攻擊者能夠在不知道賬戶(hù)密碼的情況下執(zhí)行任何操作，這意味著攻擊者可以下載賬戶(hù)名冊(cè)、未加密的服務(wù)器端消息歷史記錄、發(fā)送新消息或?qū)崟r(shí)更改消息。

The Hacker News建議該服務(wù)的用戶(hù)檢查他們賬戶(hù)中的 PEP 存儲(chǔ)是否有新的未經(jīng)授權(quán)的 OMEMO 和 PGP 密鑰，并更改密碼。

公民實(shí)驗(yàn)室（The Citizen Lab）詳細(xì)介紹了移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商用于國(guó)際漫游的信令協(xié)議中存在的安全漏洞，監(jiān)控人員、執(zhí)法人員和有組織犯罪團(tuán)伙可以利用這些漏洞對(duì)設(shè)備進(jìn)行地理定位。

更有甚者，解析 ASN.1 消息的漏洞（CVE-2022-43677，CVSS 得分：5.5）可能被用作攻擊載體，從用戶(hù)平面跨越到控制平面，甚至破壞依賴(lài)于 5G 技術(shù)的關(guān)鍵基礎(chǔ)設(shè)施。趨勢(shì)科技研究員 Salim S.I. 在本月發(fā)布的一份報(bào)告中表示，CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 實(shí)現(xiàn)，通過(guò)用戶(hù)流量觸發(fā)控制平面拒絕服務(wù)（DoS）。

對(duì)核心數(shù)據(jù)包的DoS 攻擊會(huì)破壞整個(gè)網(wǎng)絡(luò)的連接。在國(guó)防、警務(wù)、采礦和交通管制等關(guān)鍵領(lǐng)域，連接中斷可能導(dǎo)致可怕的后果。

參考鏈接：https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html