Инфраструктура Ubuntu не работала больше суток после публикации эксплойта для Linux

Инфраструктура Ubuntu и её материнской компании Canonical оказалась недоступна более суток — и это произошло в крайне неудачный момент. Незадолго до начала сбоя исследователи опубликовали рабочий эксплойт-код, позволяющий непривилегированным пользователям получить полный root-доступ на серверах под управлением практически любого Linux-дистрибутива, включая Ubuntu. Совпадение по времени выглядит неслучайным.

Что именно перестало работать

Согласно обсуждениям на форуме AskUbuntu.com, недоступными оказались сразу несколько критически важных ресурсов экосистемы. В их числе — security.ubuntu.com и archive.ubuntu.com, через которые миллионы машин по всему миру получают обновления пакетов. Также не отвечали ubuntu.com, canonical.com, portal.canonical.com, assets.ubuntu.com, blog.ubuntu.com, developer.ubuntu.com, academy.canonical.com, jaas.ai и maas.io.

Отдельно пострадали два API Ubuntu Security — сервисы для работы с базой CVE-уязвимостей и уведомлениями безопасности. Именно они нужны системным администраторам и DevOps-командам для автоматизированного мониторинга угроз.

По сути, Canonical временно лишилась возможности не только распространять патчи, но и информировать пользователей о том, как реагировать на только что опубликованную критическую уязвимость. Обновления в итоге оставались доступны через зеркальные серверы — но далеко не все администраторы знают об их существовании или настроили их заранее.

DDoS как услуга: старая проблема без решения

Предполагаемый инструмент атаки — так называемые stressor- или booter-сайты, платформы типа DDoS-as-a-service. Они работают уже несколько десятилетий: любой желающий может арендовать мощность для атаки на выбранный адрес, не обладая никакими техническими знаниями. Правоохранительные органы разных стран периодически проводят операции против таких сервисов, однако полностью искоренить их не удаётся — на место закрытых площадок приходят новые.

Что особенно озадачивает в ситуации с Canonical: на рынке существует широкий выбор средств защиты от DDoS, включая как минимум один бесплатный сервис. Почему инфраструктура одной из ключевых компаний Linux-экосистемы оказалась настолько уязвимой и почему восстановление заняло более суток — публично не объяснялось.

Для белорусских IT-команд, использующих Ubuntu в продакшн-окружениях — а это стандарт для большинства компаний в ПВТ и за его пределами — инцидент служит напоминанием о нескольких вещах. Во-первых, зависимость от единственного источника обновлений создаёт операционный риск. Во-вторых, настройка локальных зеркал репозиториев или внутреннего кэша пакетов (например, через apt-cacher-ng или Nexus Repository) — не паранойя, а базовая практика непрерывности.

Эксплойт, который всё и запустил

Контекст атаки важен. Исследователи опубликовали рабочий код эксплойта, позволяющий непривилегированному пользователю — например, арендатору в дата-центре или студенту в университетской сети — получить права суперпользователя на сервере. Уязвимость затрагивает большинство популярных Linux-дистрибутивов.

Публикация такого кода в открытом доступе — стандартная практика в сообществе безопасности: она давит на вендоров, ускоряет выпуск патчей и позволяет специалистам тестировать собственные системы. Но одновременно это открывает окно для злоумышленников. Если атака на Canonical действительно была скоординирована с публикацией эксплойта, цель очевидна: максимально затруднить распространение исправлений именно тогда, когда они нужны больше всего.

Администраторам Linux-серверов стоит убедиться, что системы получили актуальные обновления безопасности — при необходимости вручную указав зеркальный репозиторий в конфигурации apt. Список официальных зеркал Ubuntu доступен на launchpad.net. Ситуация также подчёркивает ценность подписки на независимые каналы уведомлений об уязвимостях — такие как NVD, OSV или рассылки дистрибутивов — чтобы не зависеть от доступности одного домена в критический момент.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.