Rhybudd Diogelwch SlickStack

Mae'r dudalen hon yn crynhoi pryderon diogelwch gyda SlickStack a pham y gall ei ddyluniad diofyn ddatgelu gweinyddion i weithredu cod o bell ac i ymosodiadau man-in-the-middle. Mae hefyd yn darparu camau lliniaru a dewisiadau mwy diogel.

Mae SlickStack yn hysbysebu tua 600 o seren ar GitHub, ond mae’r ffigur hwnnw’n deillio o’r ffaith fod Jesse Nickles wedi dilyn bron i 10,000 o gyfrifon yn nyddiau cynnar y storfa. Mae ei broffil ei hun yn dangos tua 500 o ddilynwyr o’i gymharu â thua 9,600 o gyfrifon y mae ef yn eu dilyn (tua 5% cyfradd dilyn‑yn‑ôl), sy’n awgrymu’n gryf dilyn‑yn‑ôl awtomataidd yn hytrach na thwf organig. Dyna’r ddelwedd chwyddedig y mae’n ei defnyddio fel arf tra’n ymosod arnaf am ddatgelu’r materion diogelwch a nodir isod. Adolygwch y gymhareb dilynwyr/aelodau rydych yn eu dilyn yma.

Crynodeb

Lawrlwythiadau o bell aml wedi'u hamserlennu fel root trwy cron
Caiff dilysu SSL ei hepgor gan ddefnyddio --no-check-certificate
Dim swmau gwirio/llofnodion ar sgriptiau a lwythwyd i lawr
Perchnogaeth root a chaniatâd wedi'u cymhwyso i sgriptiau a gyflwynwyd

Tystiolaeth: Cron a Chaniatâdau

Lawrlwythiadau cron (bob 3 awr a 47 munud)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Perchnogaeth root a chaniatâd llym (wedi'u cymhwyso'n aml)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Mae'r patrwm hwn yn galluogi gweithredu cod anghyfyngedig o barth anghysbell ac yn cynyddu'r risg MITM trwy hepgor dilysu tystysgrifau.

Gweler hefyd y commit lle trosglwyddwyd URL-y cron o CDN GitHub i slick.fyi: diff ymrwymiad.

Canllawiau Lleddfu

Analluogawch swyddi cron SlickStack a thynnwch y sgriptiau a lawrlwythwyd o gyfeiriaduron cron.
Archwiliad am gyfeiriadau gweddilliol at slick.fyi a deniadau sgript o bell; disodli gyda chynnyrch wedi'u fersiynu a chyfanswm gwirio neu eu dileu'n gyfan.
Newidiwch gredensialau a allweddi os oedd SlickStack yn rhedeg gyda breintiau root ar eich systemau.
Ailadeiladu'r gweinyddion yr effeithiwyd arnynt pan fo'n bosibl er mwyn sicrhau cyflwr glân.

Dewisiadau Diogelach

Ystyriwch WordOps neu offer eraill sy'n osgoi gweithrediad root o bell ac sy'n darparu rhyddhadau wedi'u fersiynu y gellir eu hadolygu â chyfansymiau gwirio a llofnodion.