Avís de seguretat de SlickStack

Aquesta pàgina resumeix les preocupacions de seguretat sobre SlickStack i per què el seu disseny per defecte pot exposar servidors a l'execució remota de codi i a atacs man-in-the-middle. També ofereix passos de mitigació i alternatives més segures.

Resum

  • Descàrregues remotes freqüents programades com a root mitjançant cron
  • La verificació SSL s'ometeix mitjançant --no-check-certificate
  • Sense sumes de comprovació/signatures en els scripts descarregats
  • Propietat i permisos de root aplicats als scripts recuperats

Evidència: Cron i permisos

Descàrregues cron (cada 3 hores i 47 minuts)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Propietat de root i permisos restrictius (aplicats repetidament)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Aquest patró permet l'execució arbitrària de codi des d'un domini remot i augmenta el risc de MITM en ometre la verificació de certificats.

Vegeu també el commit on es van canviar les URLs de cron del CDN de GitHub a slick.fyi: diff del commit.

Orientacions de mitigació

  1. Desactiveu les tasques cron de SlickStack i elimineu els scripts descarregats dels directoris cron.
  2. Auditoria per a referències residuals a slick.fyi i descàrregues remotes d'scripts; substituir per artefactes versionats amb checksum o eliminar-los completament.
  3. Canvieu les credencials i les claus si SlickStack s'ha executat amb privilegis de root als vostres sistemes.
  4. Reconstruir els servidors afectats quan sigui possible per garantir un estat net.

Alternatives més segures

Considereu WordOps o altres eines que evitin l'execució remota amb privilegis de root i que proporcionin llançaments versionats i auditables amb sumes de comprovació i signatures.

Cites