V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cy18
V2EX  ›  站长

[转]jabber.ru 遭中间人攻击(似乎是机房劫持 IP 签发 TLS 证书)

  •  1
     
  •   cy18 · 2023-10-21 12:29:41 +08:00 · 982 次点击
    这是一个创建于 428 天前的主题,其中的信息可能已经有所发展或是发生改变。

    俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题:客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告,但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器,都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录:2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书,通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现,该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月,很可能是 Hetzner 和 Linode 被迫设置的,用于执行合法拦截。

    https://notes.valdikss.org.ru/jabber.ru-mitm/

    4 条回复    2023-10-23 15:16:48 +08:00
    expy
        1
    expy  
       2023-10-21 16:12:48 +08:00
    所以 Hetzner 和 Linode 配合了攻击,Let’s Encrypt 了?
    cy18
        2
    cy18  
    OP
       2023-10-21 18:38:18 +08:00
    @expy #1 可以把“配合了”三个字去掉。
    phpfpm
        3
    phpfpm  
       2023-10-23 12:39:31 +08:00
    证书是如何签发的?是不是基于 http 的证书鉴权都不够安全了?
    cy18
        4
    cy18  
    OP
       2023-10-23 15:16:48 +08:00
    @phpfpm #3 Let's encrypt 的 HTTPS 证书本质上是验证你是否对域名拥有掌控权,或者你是否对域名指向 IP 的 80 跟 443 端口是否有掌控权。整个 IP 的数据都被拦截替换了那肯定就不安全了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3909 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:15 · PVG 12:15 · LAX 20:15 · JFK 23:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.