30 апреля 2026 года веб-инфраструктура компании Canonical и проектов Ubuntu подверглись продолжительной трансграничной DDoS-атаке. Инженеры компании работают над её устранением. Инцидент продолжается уже более 18 часов.
«Наши команды работают над восстановлением полной доступности всех затронутых сервисов. Мы будем предоставлять обновления в наших официальных каналах, как только сможем», — пояснили в Canonical.
Из-за атаки основной веб-сайт дистрибутива Ubuntu недоступен уже почти сутки. Спустя более 18 часов атака продолжает нарушать работу основного веб-сайта Ubuntu и многих его поддоменов, хотя некоторые, включая страницы архива и Discourse, остаются работоспособными. Сбой в работе сервиса Ubuntu означает, что пользователи не могут загружать версии дистрибутивов через обычные каналы, а также не могут войти в свои учётные записи Canonical.
Сообщается, что ресурсы операционной системы Ubuntu не скомпрометированы и не затронуты напрямую атакой. К числу веб-сайтов и сервисов, которые недоступны, относятся любые веб-сайты, связанные с основным веб-сайтом Ubuntu, включая lists.ubuntu.com, security.ubuntu.com, login.ubuntu.com, archive.ubuntu.com и keyserver.ubuntu.com:11371. «Временно приостановлена загрузка/документация Ubuntu — ядро ОС, репозитории APT и безопасность остаются в целости и сохранности», — пояснили в Canonical.
Хакерская команда 313 Team отправила сообщение, адресованное Canonical, которое указывает на то, что группа отходит от хактивизма и переходит к полномасштабному вымогательству: «Есть простой выход. Мы отправили вам электронное письмо с нашим идентификатором контакта сессии. Если вы не свяжетесь с нами, мы продолжим нашу атаку. Вы находитесь в ужасном положении, не будьте глупы».
Ранее исследователи по ИБ раскрыли информацию о LPE-уязвимости из 10 строк кода на Python под названием Copy Fail (CVE-2026-31431), которая может быть реализована в системах на базе Linux. С помощью этой уязвимости в один клик непривилегированный локальный пользователь может получить доступ к системе уровня root без race condition, без подбора оффсетов и без сложной подготовки. Это не удалённая RCE сама по себе: атакующему нужен локальный доступ или контролируемый запуск кода на удалённом ПК. Но для shared-хостов, CI/CD runners, Kubernetes-кластеров, песочниц, dev-серверов и SaaS-платформ с пользовательским кодом это является критичным: контейнер или обычный пользователь могут стать проблемой уровня хоста.
Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.
Инфраструктура Snap также оказалась недоступна.
