CEVIU Logo
Voltar

Pesquisador recria ataque de interceptação TLS usado no jabber.ru em 2023

Aprofundamento CEVIU

Aprofundamento

O ataque ao jabber.ru em 2023 não foi um simples erro de configuração: foi um MitM operado com precisão técnica, usando uma falha crítica no acme.sh (CVE-2023-38198) para injetar código remoto e forçar a emissão de certificados fraudulentos pelo Let's Encrypt. O pesquisador que recriou o vetor em 2026 demonstrou que basta um token http-01 malicioso, codificado em base64 como stager Python, para gerar uma reverse shell privilegiada no momento em que o acme.sh faz o desafio de validação com uma CA controlada. A chave está na injeção via eval em versões anteriores à 3.0.6, que executa comandos arbitrários sem sanitização, transformando o processo de renovação de certificados em porta de entrada para controle total do servidor.

O ataque original durou mais de seis meses (abril a outubro de 2023), com tráfego XMPP totalmente descriptografado em tempo real. Não houve invasão direta dos servidores, os atacantes manipularam o roteamento em infraestrutura de provedores (Hetzner e Linode), redirecionando conexões da porta 5222 para um nó intermediário que apresentava certificados falsos. Um log de kernel mostrou perda de link físico por 19 segundos em 18 de julho de 2023, exatamente antes da geração de dois certificados fraudados. Isso confirma que o ataque dependeu tanto de vulnerabilidade de software quanto de manipulação de rede, um padrão que se repete em incidentes recentes como o Zapocalypse e o Global S3, onde sandboxes e canais legítimos são desviados para C2.

O que mudou

A cobertura CEVIU anterior não tratou do jabber.ru ou da CVE-2023-38198, mas expôs um padrão recorrente desde maio de 2026: a exploração de componentes de automação confiáveis (acme.sh, sandbox Python do Zapier, interpretadores do AgentCore) como vetores de execução remota. Em junho de 2026, o que mudou foi a confirmação prática de que essa mesma lógica, usar ferramentas legítimas de gestão de certificados ou infraestrutura como armas, já havia sido aplicada com sucesso em escala contra serviços críticos de comunicação. A diferença é que, enquanto o Zapocalypse e o Global S3 exploram ambientes de execução de código, o ataque ao jabber.ru opera no nível de provisionamento de identidade digital: ele não rouba tokens, mas fabrica credenciais confiáveis, e isso é mais difícil de detectar e mitigar.

Por que isso importa

Empresas brasileiras que usam acme.sh para TLS em produção, especialmente em ambientes de mensageria, IoT ou APIs públicas, ainda podem estar executando versões não atualizadas. A CVE-2023-38198 tem CVSS 9.8 e foi explorada ativamente desde junho de 2023, inclusive em CA intermediárias chinesas. Mais grave: o estudo do Google e GitGuardian de março de 2026 mostra que 2.600 certificados válidos já foram comprometidos por exposição de chaves privadas em repositórios públicos. Isso significa que o risco não é só de ataque ativo via injeção, mas também de personificação passiva: um certificado válido com chave vazada permite MitM sem nenhuma exploração de software, basta ter acesso à chave. Para equipes de segurança, isso exige auditoria imediata de cadeias de certificação, monitoramento contínuo de emissões no CT logs (como crt.sh) e bloqueio de certificados suspeitos via OCSP stapling ou revogação via CRL distribuída.

Linha do tempo

  1. Início provável do ataque MitM contra jabber.ru com emissão de certificados fraudulentos pelo Let's Encrypt

  2. Perda de link físico de 19 segundos em servidor Hetzner, seguida da geração de dois certificados TLS falsos

  3. Detecção do ataque após expiração de certificado fraudulento sem renovação

  4. Divulgação oficial da CVE-2023-38198 no acme.sh

  5. Pesquisador recria o vetor de ataque completo, combinando CVE-2023-38198 com controle de roteamento para MitM via certificado fraudulento

Perguntas frequentes

O que torna a CVE-2023-38198 tão perigosa?

Ela permite execução remota de comandos com privilégios de root via injeção em chamadas ao acme.sh durante validação de domínio. A falha está na função 'eval' não sanitizada, presente em versões anteriores à 3.0.6. Um atacante pode injetar qualquer comando, incluindo download de payloads, criação de backdoors ou até emissão de certificados falsos, apenas manipulando o token http-01.

Como saber se meu servidor foi afetado pela CVE-2023-38198?

Verifique a versão do acme.sh com 'acme.sh --version'. Se for anterior à 3.0.6, atualize imediatamente. Revise logs de autenticação do Let's Encrypt (em /var/log/letsencrypt), busque por requisições inesperadas ao endpoint /.well-known/acme-challenge/ e monitore emissões de certificados para seus domínios no Certificate Transparency logs (crt.sh).

Por que o ataque ao jabber.ru demorou tanto para ser detectado?

Porque os certificados fraudulentos eram válidos, emitidos por uma CA pública confiável (Let's Encrypt). A detecção só ocorreu quando um dos certificados expirou em 16 de outubro de 2023 e não foi renovado, revelando a discrepância entre o certificado apresentado e o válido no servidor. Sem monitoramento ativo de CT logs, esse tipo de ataque passa despercebido.

Esse tipo de ataque ainda é viável hoje?

Sim. Embora o acme.sh tenha sido corrigido, muitos servidores ainda rodam versões antigas. Além disso, ataques de downgrade TLS e exploração de chaves privadas vazadas em repositórios públicos continuam em alta, o estudo do Google/GitGuardian de março de 2026 identificou mais de 900 certificados de empresas Fortune 500 comprometidos dessa forma.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Pesquisador recria ataque de interceptação TLS usado