據The Hacker News消息，一名安全研究人員近日聲稱，他發現有人試圖利用托管在德國Hetzner和Linode（Akamai的子公司）的服務器，秘密攔截來自基于XMPP的即時消息服務jabber[.]ru（又名xmpp[.]ru）的流量。

XMPP是一種以XML為基礎的開放式即時通信協議，具有超強的可擴展性。經過擴展后的XMPP可以通過發送擴展的信息來處理用戶需求，以及在XMPP的頂端建立如內容發布系統和基于地址的服務等應用程序。

這位化名為 ValdikSS 的安全研究人員表示：攻擊者使用 Let's Encrypt 服務發布了幾個新的 TLS 證書，這些證書被用于使用透明中間人攻擊（MITM）代理，劫持 5222 端口上的加密 STARTTLS 連接。這次攻擊是由于其中一個 MiTM 證書過期而被發現的，該證書尚未重新認證。

目前收集到的證據表明，流量重定向是在上述托管服務提供商網絡上配置，排除了如服務器漏洞或誘騙攻擊等其他可能性。研究人員已經證實的竊聽活動至少從 2023 年 7 月 21 日開始，一直持續到 2023 年 10 月 19 日。但攻擊者的首次竊聽活動可能從 2023 年 4 月 18 日就已開始。

而攻擊者的行跡首次暴露于 2023 年 10 月 16 日，當時一名 UNIX 管理員在連接該服務時收到了一條 "證書已過期 "的消息。據了解，在 2023 年 10 月 18 日開始調查這起MITM攻擊事件后，攻擊者停止了活動。目前還不清楚誰是這次攻擊的幕后黑手。有專家認為，這起攻擊是對 Hetzner 和 Linode 內部網絡的入侵，特別是針對 jabber[.]ru。

研究人員說表示，鑒于攔截的性質，攻擊者能夠在不知道賬戶密碼的情況下執行任何操作，這意味著攻擊者可以下載賬戶名冊、未加密的服務器端消息歷史記錄、發送新消息或實時更改消息。

The Hacker News建議該服務的用戶檢查他們賬戶中的 PEP 存儲是否有新的未經授權的 OMEMO 和 PGP 密鑰，并更改密碼。

公民實驗室（The Citizen Lab）詳細介紹了移動網絡運營商用于國際漫游的信令協議中存在的安全漏洞，監控人員、執法人員和有組織犯罪團伙可以利用這些漏洞對設備進行地理定位。

更有甚者，解析 ASN.1 消息的漏洞（CVE-2022-43677，CVSS 得分：5.5）可能被用作攻擊載體，從用戶平面跨越到控制平面，甚至破壞依賴于 5G 技術的關鍵基礎設施。趨勢科技研究員 Salim S.I. 在本月發布的一份報告中表示，CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 實現，通過用戶流量觸發控制平面拒絕服務（DoS）。

對核心數據包的DoS 攻擊會破壞整個網絡的連接。在國防、警務、采礦和交通管制等關鍵領域，連接中斷可能導致可怕的后果。

參考鏈接：https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html