تعرضت العديد من الخوادم التي تديرها Ubuntu وشركتها الأم Canonical للهجوم وتم قطع اتصالها بالإنترنت منذ صباح الخميس بالتوقيت المحلي. واستمر الانقطاع لأكثر من 24 ساعة حتى الآن، مما أثر بشكل خطير على الاتصال العادي لتوزيع Linux السائد مع المستخدمين بعد الكشف عن ثغرة أمنية كبيرة.

خلال الـ 24 ساعة الماضية، تعذر الوصول تقريبًا إلى معظم مواقع ويب Ubuntu وCanonical، وفشل المستخدمون بشكل متكرر في الحصول على تحديثات النظام من الخوادم الرسمية. ومع ذلك، لا تزال خدمات التحديث من المواقع المطابقة حول العالم عادية. بخلاف قول Canonical في إعلان الحالة إن "البنية التحتية لشبكتها تتعرض لهجمات مستمرة عبر الحدود نعمل على معالجتها"، ظل مسؤولو Ubuntu وCanonical صامتين إلى حد كبير طوال فترة الانقطاع.

أعلنت مجموعة قرصنة تدعي أنها متعاطفة مع الحكومة الإيرانية "تبنتها" للهجوم على وسائل التواصل الاجتماعي، قائلة إنها شنت هجومًا موزعًا لحجب الخدمة (DDoS) من خلال منصة تسمى Beam. تدعي Beam أنها خدمة "اختبار الإجهاد" تُستخدم لاختبار قدرة الخادم على تحمل الضغط تحت الحمل العالي، ولكن مثل ما يسمى بـ "الضغوطات" أو "المعززات" الأخرى، فهي في الأساس أداة يستخدمها المجرمون للدفع لشل مواقع الطرف الثالث. وفي الأيام الأخيرة، زعمت هذه المجموعة الموالية لإيران أيضًا أنها شنت هجمات DDoS مماثلة على منصة التجارة الإلكترونية eBay.

وفقًا لمشرف في مجتمع الأسئلة والأجوبة AskUbuntu.com، فإن المجالات والخدمات التي لا يمكن الوصول إليها حاليًا أو المتأثرة بشدة تشمل: Security.ubuntu.com، وjaas.ai، archive.ubuntu.com، وcanonical.com، وmaas.io، وblog.ubuntu.com، وdeveloper.ubuntu.com، وUbuntu Security API (يغطي CVE وإشعارات الأمان)، وacademy.canonical.com، وubuntu.com، Portal.canonical.com، وAssets.ubuntu.com. تتضمن هذه الخدمات تحديثات أمان Ubuntu ومستودعات الحزم وفهارس الصور، بالإضافة إلى خطوط أعمال Canonical المتعددة للمطورين وعملاء المؤسسات ومنصات التعلم.

تزامن هذا الانقطاع واسع النطاق في البنية التحتية مع كشف الباحثين الأمنيين عن قطعة من أكواد الاستغلال ذات قدرات هجومية قوية، والتي يمكن أن تسمح للمستخدمين العاديين غير الموثوق بهم بالحصول على أعلى امتياز للتحكم في الجذر على جميع خوادم توزيع Linux الرئيسية تقريبًا (بما في ذلك Ubuntu) في بيئات متعددة المستأجرين مثل مراكز البيانات وشبكات الجامعات. أدى هذا التداخل في الوقت إلى تقييد Ubuntu بشكل كبير في إصدار إرشادات الأمان وخطط تخفيف المخاطر وتعليمات التصحيح للمستخدمين المتأثرين. يضطر نشر المعلومات الأمنية ذات الصلة إلى الاعتماد على مواقع المرآة التابعة لجهات خارجية وقنوات المجتمع إلى حد كبير. ومع ذلك، لا تزال حزم التحديث الموزعة حاليًا من خلال مصادر مرآة في أماكن مختلفة متاحة، مما يوفر مسارًا بديلاً للمستخدمين للحصول على إصلاحات مهمة على المدى القصير.

ما يسمى بآلات الضغط أو منصات "تأجير حركة المرور الزومبي" موجودة منذ عقود، وكان نموذج التشغيل التجاري لـ DDoS كخدمة منذ فترة طويلة على قائمة المستهدفين لوكالات إنفاذ القانون في مختلف البلدان. ورغم أن الشرطة في العديد من البلدان اتخذت إجراءات مشتركة لإنفاذ القانون عدة مرات للاستيلاء على مواقع الويب واعتقال المشغلين، فإن هذه الصناعة السرية التي تعتمد على استئجار شبكات الروبوت ومهاجمة حركة المرور لم يتم القضاء عليها قط، وتستمر منصات وعلامات تجارية جديدة في الظهور مرة أخرى في أشكال جديدة. يُظهر هذا الهجوم على Ubuntu وCanonical أن فرق الأمن التجاري الناضجة ومشغلي البنية التحتية قد يظلون متفاجئين من مثل هذه الهجمات عالية الحركة في فترة قصيرة من الزمن.

من غير الواضح لماذا استغرقت البنية التحتية لـ Ubuntu وCanonical وقتًا طويلاً حتى تصبح في متناول العالم الخارجي بشكل كامل. تعتقد الصناعة بشكل عام أن هناك عددًا كبيرًا من خدمات حماية DDoS الناضجة في السوق، واحدة منها على الأقل توفر إمكانات الحماية الأساسية مجانًا. ولذلك، أثار هذا الانقطاع الطويل العديد من التساؤلات حول مدى استعداد شركة Canonical فيما يتعلق بخطط الطوارئ، وتنظيف حركة المرور، والتكرار المعماري. ومع ذلك، اعتبارًا من وقت كتابة المقالة، لم تكشف Canonical بشكل أكبر عن التفاصيل المحددة للهجوم، واستراتيجيات الحماية الخاصة به، والجدول الزمني للاستعادة الكاملة للخدمات.

على الرغم من أن آثار هذا الحادث لم تهدأ، إلا أن مجتمع الأمان لا يزال يستوعب التأثيرات المتتابعة لـ "أحد أخطر تهديدات Linux منذ سنوات"، وقد دقت أزمة البنية التحتية لـ Ubuntu ناقوس الخطر حول كيفية بقاء النظام البيئي مفتوح المصدر بأكمله مرنًا بين هجمات الضغط العالي والاستجابات الأمنية الطارئة.