Sinds donderdagochtend lokale tijd zijn meerdere servers van Ubuntu en moederbedrijf Canonical aangevallen en offline gehaald. De onderbreking heeft tot nu toe ruim 24 uur geduurd, waardoor de normale communicatie van de reguliere Linux-distributie met gebruikers ernstig werd aangetast na de onthulling van een groot beveiligingsprobleem.
In de afgelopen 24 uur zijn de meeste Ubuntu- en Canonical-websites vrijwel ontoegankelijk geweest en zijn gebruikers er herhaaldelijk niet in geslaagd systeemupdates van de officiële servers te verkrijgen. Updatediensten van mirrorsites over de hele wereld zijn echter nog steeds normaal. Afgezien van het feit dat Canonical in een statusaankondiging zegt dat zijn "netwerkinfrastructuur voortdurend grensoverschrijdende aanvallen ondervindt die we proberen aan te pakken", zijn Ubuntu- en Canonical-functionarissen tijdens de storing grotendeels stil gebleven.
Een hackersgroep die beweert sympathiek tegenover de Iraanse regering te staan, heeft de aanval op sociale media ‘opgeëist’ en zegt een gedistribueerde denial-of-service (DDoS)-aanval te hebben gelanceerd via een platform genaamd Beam. Beam beweert een dienst voor ‘stresstests’ te zijn die wordt gebruikt om het vermogen van de server om druk onder hoge belasting te weerstaan te testen, maar net als andere zogenaamde ‘stressoren’ of ‘boosters’ is het in wezen een hulpmiddel waarmee criminelen kunnen betalen om websites van derden lam te leggen. De afgelopen dagen beweerde deze pro-Iraanse groep ook soortgelijke DDoS-aanvallen te hebben gelanceerd op het e-commerceplatform eBay.
Volgens een moderator van de vraag- en antwoordgemeenschap AskUbuntu.com zijn domeinen en services die momenteel ontoegankelijk of ernstig getroffen zijn: security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, developer.ubuntu.com, Ubuntu Security API (dekt CVE en beveiligingskennisgevingen), academy.canonical.com, ubuntu.com, portal.canonical.com, en assets.ubuntu.com. Deze diensten omvatten de beveiligingsupdates van Ubuntu, pakketopslagplaatsen en afbeeldingsindexen, evenals de meerdere bedrijfslijnen van Canonical voor ontwikkelaars, zakelijke klanten en leerplatforms.
Deze grootschalige uitval van de infrastructuur viel samen met de onthulling door beveiligingsonderzoekers van een stukje exploitcode met krachtige aanvalsmogelijkheden, waardoor niet-vertrouwde gewone gebruikers rootcontrole met de hoogste rechten kunnen verkrijgen op bijna alle reguliere Linux-distributieservers (inclusief Ubuntu) in multi-tenantomgevingen zoals datacenters en universiteitsnetwerken. Deze overlap in de tijd heeft ervoor gezorgd dat Ubuntu aanzienlijk beperkt is in het vrijgeven van beveiligingsrichtlijnen, plannen voor risicobeperking en patch-instructies voor getroffen gebruikers. De verspreiding van relevante beveiligingsinformatie is in grote mate afhankelijk van spiegelsites en gemeenschapskanalen van derden. Desalniettemin zijn updatepakketten die momenteel op verschillende plaatsen via mirrorbronnen worden gedistribueerd, nog steeds beschikbaar, waardoor gebruikers een alternatief pad worden geboden om op korte termijn kritieke oplossingen te verkrijgen.
Zogenaamde drukmachines of ‘zombieverkeerverhuur’-platforms bestaan al tientallen jaren, en het commerciële exploitatiemodel van DDoS-as-a-service staat al lange tijd op de hitlijst van wetshandhavingsinstanties in verschillende landen. Hoewel de politie uit veel landen vaak gezamenlijke wetshandhavingsacties heeft ondernomen om websites in beslag te nemen en exploitanten te arresteren, is deze ondergrondse industrie, die afhankelijk is van het huren van botnets en het aanvallen van verkeer, nooit uitgeroeid, en blijven nieuwe platforms en merken in nieuwe schelpen verschijnen. Deze aanval op Ubuntu en Canonical laat zien dat volwassen commerciële beveiligingsteams en infrastructuurbeheerders in korte tijd nog steeds overrompeld kunnen worden door dergelijke aanvallen met veel verkeer.
Het is onduidelijk waarom het zo lang duurde voordat de infrastructuur van Ubuntu en Canonical volledig toegankelijk werd voor de buitenwereld. De industrie is over het algemeen van mening dat er een groot aantal volwassen DDoS-beschermingsdiensten op de markt zijn, waarvan er ten minste één gratis basisbeschermingsmogelijkheden biedt. Daarom heeft deze lange onderbreking veel vragen opgeroepen over de paraatheid van Canonical op het gebied van noodplannen, verkeersschoonmaak en architectonische redundantie. Op het moment van schrijven heeft Canonical de specifieke details van de aanval, de beschermingsstrategieën en een tijdschema voor volledig herstel van de dienstverlening echter niet verder bekendgemaakt.
Hoewel de nasleep van dit incident nog niet is verdwenen, is de veiligheidsgemeenschap nog steeds bezig met het verwerken van de rimpeleffecten van ‘een van de ernstigste Linux-bedreigingen in jaren’. De Ubuntu-infrastructuurcrisis heeft alarm geslagen over de manier waarop het hele open source-ecosysteem veerkrachtig blijft tussen hogedrukaanvallen en noodreacties op de beveiliging.