Varios servidores operados por Ubuntu y su empresa matriz Canonical han sido atacados y desconectados desde el jueves por la mañana, hora local. La interrupción ha continuado durante más de 24 horas hasta el momento, afectando seriamente la comunicación normal de la distribución principal de Linux con los usuarios después de la revelación de una importante vulnerabilidad de seguridad.

En las últimas 24 horas, la mayoría de los sitios web de Ubuntu y Canonical han sido casi inaccesibles y los usuarios no han podido obtener actualizaciones del sistema de los servidores oficiales en repetidas ocasiones. Sin embargo, los servicios de actualización de sitios espejo de todo el mundo siguen siendo normales. Aparte de que Canonical dijo en un anuncio de estado que su "infraestructura de red está experimentando ataques transfronterizos continuos que estamos trabajando para abordar", los funcionarios de Ubuntu y Canonical han permanecido en gran medida en silencio durante la interrupción.

Un grupo de piratas informáticos que afirma simpatizar con el gobierno iraní "reivindicó" el ataque en las redes sociales, diciendo que lanzó un ataque distribuido de denegación de servicio (DDoS) a través de una plataforma llamada Beam. Beam afirma ser un servicio de "pruebas de estrés" que se utiliza para probar la capacidad del servidor para soportar presión bajo cargas elevadas, pero al igual que otros llamados "factores de estrés" o "impulsores", es esencialmente una herramienta para que los delincuentes paguen para paralizar sitios web de terceros. En los últimos días, este grupo pro-Irán también afirmó haber lanzado ataques DDoS similares contra la plataforma de comercio electrónico eBay.

Según un moderador de la comunidad de preguntas y respuestas AskUbuntu.com, los dominios y servicios que actualmente son inaccesibles o están gravemente afectados incluyen: security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, desarrollador.ubuntu.com, Ubuntu Security API (cubre CVE y avisos de seguridad), academy.canonical.com, ubuntu.com, portal.canonical.com y activos.ubuntu.com. Estos servicios incluyen actualizaciones de seguridad, repositorios de paquetes e índices de imágenes de Ubuntu, así como las múltiples líneas de negocios de Canonical para desarrolladores, clientes empresariales y plataformas de aprendizaje.

Esta interrupción de la infraestructura a gran escala coincidió con la divulgación por parte de investigadores de seguridad de un fragmento de código de explotación con poderosas capacidades de ataque, que puede permitir a usuarios comunes y corrientes que no son de confianza obtener el control raíz con privilegios más altos en casi todos los servidores de distribución de Linux convencionales (incluido Ubuntu) en entornos multiinquilino como centros de datos y redes universitarias. Esta superposición en el tiempo ha hecho que Ubuntu se vea significativamente limitado a la hora de publicar directrices de seguridad, planes de mitigación de riesgos e instrucciones de parches para los usuarios afectados. La difusión de información de seguridad relevante se ve obligada a depender en gran medida de sitios espejo de terceros y canales comunitarios. Sin embargo, los paquetes de actualización que actualmente se distribuyen a través de fuentes espejo en varios lugares todavía están disponibles, lo que proporciona una ruta alternativa para que los usuarios obtengan correcciones críticas en el corto plazo.

Las llamadas máquinas de presión o plataformas de "alquiler de tráfico zombie" existen desde hace décadas, y el modelo de operación comercial de DDoS como servicio ha estado durante mucho tiempo en la lista de objetivos de las fuerzas del orden en varios países. Aunque la policía de muchos países ha tomado muchas veces acciones conjuntas de aplicación de la ley para confiscar sitios web y arrestar a operadores, esta industria clandestina que se basa en el alquiler de botnets y atacar el tráfico nunca ha sido erradicada, y nuevas plataformas y marcas continúan reapareciendo en nuevos caparazones. Este ataque a Ubuntu y Canonical muestra que los equipos de seguridad comerciales maduros y los operadores de infraestructura aún pueden verse sorprendidos por ataques de alto tráfico en un corto período de tiempo.

No está claro por qué la infraestructura de Ubuntu y Canonical tardó tanto en volverse totalmente accesible al mundo exterior. La industria generalmente cree que hay una gran cantidad de servicios de protección DDoS maduros en el mercado, al menos uno de los cuales proporciona capacidades de protección básicas de forma gratuita. Por lo tanto, esta larga interrupción ha planteado muchas preguntas sobre la preparación de Canonical en términos de planes de emergencia, limpieza del tráfico y redundancia arquitectónica. Sin embargo, al cierre de esta edición, Canonical no ha revelado más detalles específicos del ataque, sus estrategias de protección y un cronograma para la restauración completa de los servicios.

Si bien las consecuencias de este incidente no han disminuido, la comunidad de seguridad todavía está digiriendo los efectos de "una de las amenazas más graves a Linux en años", y la crisis de infraestructura de Ubuntu ha hecho sonar la alarma sobre cómo todo el ecosistema de código abierto sigue siendo resistente entre ataques de alta presión y respuestas de seguridad de emergencia.