據(jù)The Hacker News消息，一名安全研究人員近日聲稱，他發(fā)現(xiàn)有人試圖利用托管在德國Hetzner和Linode（Akamai的子公司）的服務(wù)器，秘密攔截來自基于XMPP的即時(shí)消息服務(wù)jabber[.]ru（又名xmpp[.]ru）的流量。

XMPP是一種以XML為基礎(chǔ)的開放式即時(shí)通信協(xié)議，具有超強(qiáng)的可擴(kuò)展性。經(jīng)過擴(kuò)展后的XMPP可以通過發(fā)送擴(kuò)展的信息來處理用戶需求，以及在XMPP的頂端建立如內(nèi)容發(fā)布系統(tǒng)和基于地址的服務(wù)等應(yīng)用程序。

這位化名為 ValdikSS 的安全研究人員表示：攻擊者使用 Let's Encrypt 服務(wù)發(fā)布了幾個(gè)新的 TLS 證書，這些證書被用于使用透明中間人攻擊（MITM）代理，劫持 5222 端口上的加密 STARTTLS 連接。這次攻擊是由于其中一個(gè) MiTM 證書過期而被發(fā)現(xiàn)的，該證書尚未重新認(rèn)證。

目前收集到的證據(jù)表明，流量重定向是在上述托管服務(wù)提供商網(wǎng)絡(luò)上配置，排除了如服務(wù)器漏洞或誘騙攻擊等其他可能性。研究人員已經(jīng)證實(shí)的竊聽活動至少從 2023 年 7 月 21 日開始，一直持續(xù)到 2023 年 10 月 19 日。但攻擊者的首次竊聽活動可能從 2023 年 4 月 18 日就已開始。

而攻擊者的行跡首次暴露于 2023 年 10 月 16 日，當(dāng)時(shí)一名 UNIX 管理員在連接該服務(wù)時(shí)收到了一條 "證書已過期 "的消息。據(jù)了解，在 2023 年 10 月 18 日開始調(diào)查這起MITM攻擊事件后，攻擊者停止了活動。目前還不清楚誰是這次攻擊的幕后黑手。有專家認(rèn)為，這起攻擊是對 Hetzner 和 Linode 內(nèi)部網(wǎng)絡(luò)的入侵，特別是針對 jabber[.]ru。

研究人員說表示，鑒于攔截的性質(zhì)，攻擊者能夠在不知道賬戶密碼的情況下執(zhí)行任何操作，這意味著攻擊者可以下載賬戶名冊、未加密的服務(wù)器端消息歷史記錄、發(fā)送新消息或?qū)崟r(shí)更改消息。

The Hacker News建議該服務(wù)的用戶檢查他們賬戶中的 PEP 存儲是否有新的未經(jīng)授權(quán)的 OMEMO 和 PGP 密鑰，并更改密碼。

公民實(shí)驗(yàn)室（The Citizen Lab）詳細(xì)介紹了移動網(wǎng)絡(luò)運(yùn)營商用于國際漫游的信令協(xié)議中存在的安全漏洞，監(jiān)控人員、執(zhí)法人員和有組織犯罪團(tuán)伙可以利用這些漏洞對設(shè)備進(jìn)行地理定位。

更有甚者，解析 ASN.1 消息的漏洞（CVE-2022-43677，CVSS 得分：5.5）可能被用作攻擊載體，從用戶平面跨越到控制平面，甚至破壞依賴于 5G 技術(shù)的關(guān)鍵基礎(chǔ)設(shè)施。趨勢科技研究員 Salim S.I. 在本月發(fā)布的一份報(bào)告中表示，CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 實(shí)現(xiàn)，通過用戶流量觸發(fā)控制平面拒絕服務(wù)（DoS）。

對核心數(shù)據(jù)包的DoS 攻擊會破壞整個(gè)網(wǎng)絡(luò)的連接。在國防、警務(wù)、采礦和交通管制等關(guān)鍵領(lǐng)域，連接中斷可能導(dǎo)致可怕的后果。

參考鏈接：https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html