Xubuntu розкриває подробиці компрометації веб-сайту завантаження

Xubuntu опублікував детальний аналіз інциденту, який відбувся в жовтні, коли кнопка завантаження ISO на веб-сайті короткий час вела до зловмисного ZIP-файлу замість очікуваного образу установки. Інцидент почався 15 жовтня, коли відвідувачі, натискаючи на головну кнопку “Завантажити” на Xubuntu.org, перенаправлялися на файл під назвою “Xubuntu-Safe-Download.zip.” Архів виявився зловмисним.

Безпека користувачів не постраждала

Важливо підкреслити, що нічого з cdimages.ubuntu.com, офіційних репозиторіїв Ubuntu або мережі дзеркал не постраждало, а існуючі установки Xubuntu ніколи не були під загрозою.

Як відбулася атака

Згідно з аналізом проекту, атака стала можливою після того, як зловмисник здійснив брутфорс вразливого компонента в інстанції WordPress, яку Canonical підтримує для команди Xubuntu. Після проникнення зловмисник вставив код, що замінив законне посилання на завантаження ISO на зловмисний ZIP-файл. Про компрометацію повідомили швидко, що спонукало команди Canonical з інфраструктури та безпеки заблокувати сайт і відключити сторінку завантажень.

Відновлення і захист системи

Між 15 і 19 жовтня команди Canonical і Xubuntu ідентифікували метод проникнення, видалили весь вставлений код і відновили уражені сторінки з перевірених чистих знімків. Крім того, установка WordPress була посилена і переведена в контрольований режим “тільки для читання”, поки команда розпочала постійний перехід на нову платформу.

Чи є наслідки для користувачів

Xubuntu підтверджує, що лише кнопка завантаження на сайті була скомпрометована. Основна дистрибуція, системи збірки, пакети та офіційний хостинг образів Ubuntu залишилися неушкодженими. Користувачам, які завантажили файл “Xubuntu-Safe-Download.zip” у цей період, настійно рекомендується негайно видалити його і виконати сканування системи за допомогою надійного антивірусного або антишкідливого програмного забезпечення.

Планується перехід на нову платформу

У відповідь на інцидент команда фіналізує планований перехід на Hugo, генератор статичних сайтів, який усуне динамічну поверхню атаки, якою була піддана WordPress. Міграція вже відбувалася деякий час, але жовтневий злочин прискорив її завершення. Після впровадження новий статичний сайт усуне такий шлях експлуатації, який використовувався в цій компрометації.

Для отримання додаткової інформації, зверніться до офіційного анонсу на списку розсилки Ubuntu.