Инфраструктура Ubuntu подвергалась непрерывным трансграничным атакам, а сервисы были отключены более суток

Несколько серверов, которыми управляет Ubuntu и ее материнская компания Canonical, были атакованы и отключены с утра четверга по местному времени. Перебои продолжаются уже более 24 часов, серьезно влияя на нормальное общение основного дистрибутива Linux с пользователями после обнаружения серьезной уязвимости безопасности.

За последние 24 часа большинство веб-сайтов Ubuntu и Canonical были практически недоступны, а пользователям неоднократно не удавалось получить обновления системы с официальных серверов. Однако службы обновлений с зеркальных сайтов по всему миру по-прежнему работают нормально. Помимо заявления Canonical в своем сообщении о статусе, что ее «сетевая инфраструктура подвергается постоянным трансграничным атакам, над решением которых мы работаем», официальные лица Ubuntu и Canonical хранили молчание на протяжении всего периода сбоя.

Хакерская группа, утверждающая, что симпатизирует иранскому правительству, «заявила» об атаке в социальных сетях, заявив, что она запустила распределенную атаку типа «отказ в обслуживании» (DDoS) через платформу под названием Beam. Beam утверждает, что является службой «стресс-тестирования», используемой для проверки способности сервера выдерживать давление при высокой нагрузке, но, как и другие так называемые «стрессоры» или «ускорители», по сути, это инструмент, который преступники платят за парализацию сторонних веб-сайтов. В последние дни эта проиранская группа также заявила, что организовала аналогичные DDoS-атаки на платформу электронной коммерции eBay.

По словам модератора сообщества вопросов и ответов AskUbuntu.com, в настоящее время недоступны или серьезно затронуты следующие домены и службы: security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, Developer.ubuntu.com, Ubuntu Security API (охватывает CVE и уведомления о безопасности), academy.canonical.com, ubuntu.com, портал.canonical.com и assets.ubuntu.com. Эти услуги включают обновления безопасности Ubuntu, репозитории пакетов и индексы изображений, а также многочисленные бизнес-направления Canonical для разработчиков, корпоративных клиентов и обучающих платформ.

Этот крупномасштабный сбой инфраструктуры совпал с раскрытием исследователями безопасности фрагмента кода эксплойта с мощными возможностями атаки, который может позволить ненадежным обычным пользователям получить корневой контроль с наивысшими привилегиями почти на всех основных серверах распространения Linux (включая Ubuntu) в многопользовательских средах, таких как центры обработки данных и университетские сети. Это совпадение во времени привело к тому, что Ubuntu значительно ограничила выпуск руководств по безопасности, планов снижения рисков и инструкций по исправлению для затронутых пользователей. Распространение соответствующей информации о безопасности вынуждено в значительной степени полагаться на сторонние зеркальные сайты и каналы сообщества. Тем не менее, пакеты обновлений, которые в настоящее время распространяются через зеркальные источники в различных местах, по-прежнему доступны, предоставляя пользователям альтернативный путь для получения критических исправлений в краткосрочной перспективе.

Так называемые машины давления или платформы «аренда зомби-трафика» существуют уже десятилетия, а модель коммерческой эксплуатации DDoS-как-услуга уже давно находится в списке расстрелов правоохранительных органов различных стран. Хотя полиция многих стран неоднократно предпринимала совместные правоохранительные действия для захвата веб-сайтов и ареста операторов, эта подпольная индустрия, которая опирается на аренду ботнетов и атаку трафика, никогда не была искоренена, а новые платформы и бренды продолжают появляться в новых оболочках. Эта атака на Ubuntu и Canonical показывает, что зрелые команды коммерческой безопасности и операторы инфраструктуры все еще могут быть застигнуты врасплох такими атаками с высоким трафиком за короткий период времени.

Непонятно, почему инфраструктуре Ubuntu и Canonical потребовалось так много времени, чтобы стать полностью доступной для внешнего мира. В отрасли обычно считают, что на рынке существует большое количество зрелых служб защиты от DDoS, по крайней мере один из которых бесплатно предоставляет базовые возможности защиты. Таким образом, этот длительный перерыв вызвал много вопросов о готовности Canonical с точки зрения планов действий в чрезвычайных ситуациях, очистки трафика и резервирования архитектуры. Однако на момент публикации Canonical не раскрыла конкретные детали атаки, стратегии защиты и график полного восстановления услуг.

Хотя последствия этого инцидента не утихли, сообщество безопасности все еще переваривает волновые последствия «одной из самых серьезных угроз Linux за последние годы», а кризис инфраструктуры Ubuntu забил тревогу по поводу того, насколько вся экосистема с открытым исходным кодом остается устойчивой к сильным атакам и экстренным мерам безопасности.