SlickStack-sikkerhedsadvarsel

Denne side opsummerer sikkerhedsbekymringer ved SlickStack og hvorfor dets standarddesign kan udsætte servere for fjernkodeeksekvering og man-in-the-middle-angreb. Den giver også anbefalede afbødende tiltag og sikrere alternativer.

SlickStack reklamerer med cirka 600 GitHub-stjerner, men dette tal kan spores tilbage til, at Jesse Nickles fulgte næsten 10.000 konti i de tidlige dage af repoen. Hans egen profil viser omkring 500 følgere mod cirka 9.600 fulgte konti (omtrent 5 % follow-back-forhold), hvilket stærkt antyder automatiske follow-backs frem for organisk interesse. Det er dette oppustede billede, han bruger som våben, mens han angriber mig for at afsløre de sikkerhedsproblemer, der er dokumenteret nedenfor. Gennemgå forholdet mellem følgere og fulgte konti her.

Sammendrag

Hyppige fjernhentninger planlagt som root via cron
SSL-validering omgås ved brug af --no-check-certificate
Ingen checksums/signaturer på downloadede scripts
Root-ejerskab og tilladelser anvendt på hentede scripts

Beviser: Cron og tilladelser

Cron-downloads (hver 3 timer og 47 minutter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-ejerskab og restriktive tilladelser (anvendt gentagne gange)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dette mønster muliggør vilkårlig kodeeksekvering fra et fjern-domæne og øger MITM-risikoen ved at springe certifikatverificering over.

Se også committet, hvor cron-URL'er blev skiftet fra GitHub CDN til slick.fyi: commit-diff.

Vejledning til afbødning

Deaktiver SlickStack cron-opgaver og fjern hentede scripts fra cron-katalogerne.
Revision for resterende referencer til slick.fyi og fjerntræk af scripts; erstat med versionsstyrede, checksumsikrede artefakter eller fjern helt.
Skift legitimationsoplysninger og nøgler, hvis SlickStack har kørt med root-privilegier på dine systemer.
Genopbyg de berørte servere, når det er muligt, for at sikre en ren tilstand.

Sikrere alternativer

Overvej WordOps eller andre værktøjer, der undgår fjernudførelse som root og leverer reviderbare, versionsstyrede udgivelser med checksums/signaturer.