Xubuntu 发布了一份详细的事后分析报告,描述了其网站下载页面在 10 月份遭到入侵的事件。当时,ISO 下载按钮短暂地提供了一个恶意 ZIP 文件,而不是预期的安装镜像。
事件始于10月15日,当时访问者点击Xubuntu.org网站上的主“下载”按钮后,被重定向到一个名为“Xubuntu-Safe-Download.zip”的文件。该压缩文件是恶意文件。
需要强调的是,cdimages.ubuntu.com、官方 Ubuntu 软件仓库或镜像网络上的任何内容均未受到影响,现有的 Xubuntu 安装也从未面临风险。
根据该项目的分析报告,此次攻击之所以能够发生,是因为恶意攻击者暴力破解了 Canonical 为 Xubuntu 团队维护的 WordPress 实例中的一个易受攻击的组件。
攻击者入侵系统后,注入了恶意代码,将合法的 ISO 下载链接替换为恶意 ZIP 文件。此次入侵事件很快被报告,促使 Canonical 的基础架构和安全团队锁定了网站并禁用了下载页面。
10月15日至19日期间,Canonical和Xubuntu团队确定了入侵方法,移除了所有注入的代码,并从经过验证的干净快照中恢复了受影响的页面。WordPress安装已加固并置于受控的只读状态,同时团队启动了从该平台永久迁移的计划。
Xubuntu 确认,只有网站的下载按钮被篡改。核心发行版、构建系统、软件包以及官方 Ubuntu 镜像托管均未受影响。在此期间下载了“Xubuntu-Safe-Download.zip”文件的用户,请立即将其删除,并使用可信赖的杀毒软件或反恶意软件工具对系统进行扫描。
为应对此次事件,团队正在敲定向 Hugo 的迁移计划。Hugo 是一款静态网站生成器,可以消除 WordPress 暴露的动态攻击面。迁移工作已进行了一段时间,但 10 月份的攻击事件加速了迁移进程。新静态网站部署完成后,将彻底杜绝此次攻击中使用的漏洞利用途径。
更多信息请参阅Ubuntu 邮件列表上的官方公告。
