Ubuntu 同其母公司 Canonical 營運嘅多台伺服器自時本地時間週四凌晨起遭受攻擊而下線,截至今時今日已持續中斷逾 24 小時,嚴重影響咗呢家主導 Linux 發行版喺一項重大安全漏洞披露「翻車」後與用戶嘅正常溝通。喺過去 24 小時內,大多數 Ubuntu 與 Canonical 網站均無法訪問,用戶自官方伺服器獲取系統更新亦多次失敗,不過來自各地鏡像站點嘅更新服務仍正常。
Canonical 喺一則狀態公告中表示,其「網絡基礎設施正遭受持續嘅跨境攻擊,我哋正喺制定應對」,除此之外,Ubuntu 與 Canonical 官方喺整個事件期間基本上保持沉默。
自稱伊朗政權立場同情黑客組織認領攻擊
一個自稱與伊朗政權立場同情嘅黑客組織已喺社交媒體上對呢次攻擊「認領」,稱其透過名為 Beam 嘅平台發起咗分布式拒絕服務(DDoS)攻擊。Beam 對外宣稱係用於測試伺服器喺高負載下承受能力嘅「壓力測試」服務,但與其餘所謂「壓力機」(stressor)或「清洗放大器」(booter)一様,本質上係供無法分子付費攻擊第三方網站嘅工具。最近,呢個伊朗團體仲聲稱對電商平台 eBay 發起過類似嘅 DDoS 攻擊。
根據問答社區 AskUbuntu.com 一名版主嘅討論,目前無法訪問或嚴重受影響嘅域名同服務包括:security.ubuntu.com、jaas.ai、archive.ubuntu.com、canonical.com、maas.io、blog.ubuntu.com、developer.ubuntu.com、Ubuntu Security API(涵蓋 CVE 與安全通告)、academy.
canonical.com、ubuntu.com、portal.canonical.com 以及 assets.ubuntu.com。呢啲服務既涉及 Ubuntu 嘅安全更新、軟件庫同鏡像索引,亦涵蓋 Canonical 面向開發者、企業客戶同學習平台嘅多條業務線。 ### 受影響服務列表
| 域名/服務 | 主要功能 |
|---|---|
| security.ubuntu.com | 安全更新 |
| jaas.ai | 相關服務 |
| archive.ubuntu.com | 軟件庫與鏡像 |
| canonical.com | 官方網站 |
| maas.io | 業務服務 |
| blog.ubuntu.com | 博客 |
| developer.ubuntu.com | 開發者平台 |
| Ubuntu Security API | CVE 與安全通告 |
| academy.canonical.com | 學習平台 |
| ubuntu.com | 主網站 |
| portal.canonical.com | 客戶門戶 |
| assets.ubuntu.com | 資源資產 |
呢次基礎設施大面積癱瘓,擔心安全研究人員喺一個擁有強大攻擊能力嘅漏洞利用代碼,喺數據中心、大學網絡等多租戶環境中,讓不受信任嘅普通用戶獲取主導 Linux 發行版服務器(包括 Ubuntu)上嘅最高權限 root 控制權。呢個時間點嘅重要性,令到 Ubuntu 喺發布安全指引、風險緩解方案同補丁說明方面受到明顯阻礙,相關安全信息嘅傳播喺很大程度上被迫依賴第三方鏡像站點同社區渠道。
儘管如是,目前透過各地鏡像源分發嘅更新仍可使用,為用戶喺短期內獲取關鍵修復提供咗替代途徑。 所謂壓力機或「殭屍清洗租用」平台已存在數十年之久,DDoS 即服務嘅商業化運營模式亦長期喺各國執法機構嘅打擊名單之上。儘管多國警方多次採取聯合執法行動,查封網站、逮捕運營者,但呢種以租用殭屍網絡同攻擊清洗量為生嘅地下產業始終未被根除,新嘅平台同品牌不斷「換皮」重現。呢次針對 Ubuntu 與 Canonical 嘅攻擊顯示,成熟嘅商業安全團隊同基礎設施運營方亦可能喺短時間內被呢類大清洗量攻擊打得措手不及。
目前尚未清楚 Ubuntu 與 Canonical 嘅基礎設施為何長時間未能完全恢復外部可訪問狀態。業界普遍認為,市面上存在大量成熟嘅 DDoS 防護服務,其中至少一類係免費提供基礎防護能力嘅方案,因此呢次長時間中斷引發外界對 Canonical 喺應急預案、清洗容量同架構冗餘等方面準備程度嘅諸多疑問。不過,截至今發稿時,Canonical 方面尚未進一步披露其受攻擊嘅具體細節、防護策略以及全面恢復服務嘅時間表。
喺呢次事件餘波尚未平息之際,安全社區仍喺消化呢起「多年來最嚴重 Linux 威脅之一」帶來嘅連鎖反應,而 Ubuntu 呢場基礎設施危機亦為整個開源生態如何喺高壓攻擊與緊急安全應對之間保持平衡敲咗警鐘。
