Vários servidores operados pelo Ubuntu e sua empresa-mãe Canonical foram atacados e colocados offline desde a manhã de quinta-feira, horário local. A interrupção continuou por mais de 24 horas até agora, afetando seriamente a comunicação normal da distribuição Linux principal com os usuários após a divulgação de uma grande vulnerabilidade de segurança.
Nas últimas 24 horas, a maioria dos sites do Ubuntu e da Canonical ficaram quase inacessíveis e os usuários falharam repetidamente em obter atualizações do sistema dos servidores oficiais. No entanto, os serviços de atualização de sites espelho em todo o mundo ainda são normais. Além de a Canonical ter dito em um anúncio de status que sua “infraestrutura de rede está enfrentando ataques transfronteiriços contínuos que estamos trabalhando para resolver”, os funcionários do Ubuntu e da Canonical permaneceram em grande parte em silêncio durante a interrupção.
Um grupo de hackers que afirma ser simpático ao governo iraniano “reivindica” o ataque nas redes sociais, dizendo que lançou um ataque distribuído de negação de serviço (DDoS) através de uma plataforma chamada Beam. O Beam afirma ser um serviço de “teste de estresse” usado para testar a capacidade do servidor de suportar pressão sob alta carga, mas, como outros chamados “estressores” ou “boosters”, é essencialmente uma ferramenta para os criminosos pagarem para paralisar sites de terceiros. Nos últimos dias, este grupo pró-Irã também afirmou ter lançado ataques DDoS semelhantes na plataforma de comércio eletrônico eBay.
De acordo com um moderador da comunidade de perguntas e respostas AskUbuntu.com, domínios e serviços que estão atualmente inacessíveis ou gravemente afetados incluem: security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, developer.ubuntu.com, API de segurança do Ubuntu (abrange CVE e avisos de segurança), academy.canonical.com, ubuntu.com, portal.canonical.com e assets.ubuntu.com. Esses serviços incluem atualizações de segurança, repositórios de pacotes e índices de imagens do Ubuntu, bem como múltiplas linhas de negócios da Canonical para desenvolvedores, clientes corporativos e plataformas de aprendizagem.
Esta interrupção de infraestrutura em grande escala coincidiu com a divulgação por pesquisadores de segurança de um pedaço de código de exploração com poderosas capacidades de ataque, que pode permitir que usuários comuns não confiáveis obtenham o controle de root com o mais alto privilégio em quase todos os principais servidores de distribuição Linux (incluindo Ubuntu) em ambientes multi-tenant, como centros de dados e redes universitárias. Essa sobreposição de tempo tornou o Ubuntu significativamente limitado na liberação de diretrizes de segurança, planos de mitigação de riscos e instruções de patch para os usuários afetados. A disseminação de informações de segurança relevantes é forçada a depender, em grande medida, de sites espelho de terceiros e canais comunitários. No entanto, os pacotes de atualização atualmente distribuídos através de fontes espelhadas em vários locais ainda estão disponíveis, fornecendo um caminho alternativo para os usuários obterem correções críticas no curto prazo.
As chamadas máquinas de pressão ou plataformas de “aluguel de tráfego zumbi” existem há décadas, e o modelo de operação comercial de DDoS como serviço está há muito tempo na lista de alvos das agências de aplicação da lei em vários países. Embora a polícia de muitos países tenha tomado muitas vezes ações conjuntas de aplicação da lei para apreender websites e prender operadores, esta indústria clandestina que depende do aluguer de botnets e do ataque ao tráfego nunca foi erradicada, e novas plataformas e marcas continuam a reaparecer em novas conchas. Este ataque ao Ubuntu e à Canonical mostra que equipes de segurança comercial maduras e operadores de infraestrutura ainda podem ser pegos de surpresa por ataques de alto tráfego em um curto período de tempo.
Não está claro por que a infraestrutura do Ubuntu e da Canonical demorou tanto para se tornar totalmente acessível ao mundo exterior. A indústria geralmente acredita que há um grande número de serviços maduros de proteção contra DDoS no mercado, e pelo menos um deles fornece recursos básicos de proteção gratuitamente. Portanto, esta longa interrupção levantou muitas questões sobre a preparação da Canonical em termos de planos de emergência, limpeza de tráfego e redundância arquitetónica. No entanto, até o momento desta publicação, a Canonical não divulgou mais detalhes específicos do ataque, suas estratégias de proteção e um cronograma para a restauração completa dos serviços.
Embora as consequências deste incidente não tenham diminuído, a comunidade de segurança ainda está a digerir os efeitos de “uma das mais graves ameaças ao Linux em anos”, e a crise da infra-estrutura do Ubuntu soou o alarme sobre como todo o ecossistema de código aberto permanece resiliente entre ataques de alta pressão e respostas de segurança de emergência.