W trakcie ostatniego weekendu (18-19 października) strona xubuntu.org zawierała złośliwy plik EXE. Według informacji powód tej sytuacji był dość oczywisty – atakujący uzyskał dostęp do zawartości witryny WordPress i podmienił pliki torrent na archiwum ZIP (inne dostępne instalatory nie zostały w żaden sposób naruszone), które z kolei zawierało plik wykonywalny będący zwykłym malware. Atak okazał się na tyle „sprytny”, iż zmodyfikowane zostały również sumy kontrolne widoczne na stronie – jeżeli ktoś sprawdzał integralność pobranego pliku, to mógł uznać, iż wszystko jest w porządku.
Z drugiej strony nie spodziewałbym się, iż ten atak miał wielkie szanse na powodzenie. Użytkownik najpewniej oczekiwał pliku torrent, więc rozpoczęcie pobierania archiwum ZIP powinno być pierwszym sygnałem ostrzegawczym. choćby jeżeli to nie skłoniło użytkownika do większej uwagi, to wypakowanie pliku EXE zdecydowanie było wystarczającym powodem do zaprzestania dalszych kroków (uruchomienia pliku) w większości przypadków. Niecodzienna była zresztą nazwa archiwum – Xubuntu-Safe-Download.zip – raczej mało prawdopodobne, aby była to standardowa nazwa pliku. Oczywiście pobieranie ISO z dystrybucją systemu Linux przy użyciu systemu Windows nie jest abstrakcyjną sytuacją, bo większość osób posiada jednak jeden komputer, z którego poziomu może przygotować tzw. bootowalny pendrive i następnie zainstalować inny system (zastępując Windows). Polecam jednak korzystać z bardziej popularnych dystrybucji niż Xubuntu, a jeżeli już jesteśmy przekonani do pewnych niszowych dystrybucji, to lepiej pobierać pliki ISO ze sprawdzonych źródeł – tutaj jest to akurat cdimage.ubuntu.com. Nie zaszkodzi też zachowanie zdrowego rozsądku i pewnej roztropności.
Wspomniana strona WordPress została przejęta z błahego powodu – nie była regularnie aktualizowana i atakujący wykorzystał dostępną podatność. Dużo mówi to o profesjonalizmie twórców tej konkretnej dystrybucji. Przejęcie strony internetowej może mieć znacznie bardziej dotkliwe konsekwencje, dlatego istotne jest przeprowadzenie aktualizacji (w „kontrolowanych” warunkach, tzn. używając dedykowanych środowisk testowych), jak również monitoring aktywności. W części ataków odpowiednią ochronę będzie stanowić WAF.
Obecnie serwis xubuntu.org nie jest dostępny – realizowane są prace serwisowe związane z migracją z WordPress do „statycznego” systemu zarządzania treścią. Zwracany jest kod błędu 503 ze stroną znaną z rozwiązania HAProxy.
Błąd po wejściu na stronę xubuntu.org
Co ciekawe, to nie pierwsza taka sytuacja w świecie plików ISO systemu Linux. Na początku 2016 roku z podobnym atakiem zmagał się zespół odpowiedzialny za rozwój bardzo popularnej dystrybucji Linux Mint.
