SlickStack-sikkerhedsadvarsel

Denne side opsummerer sikkerhedsbekymringer ved SlickStack og hvorfor dets standarddesign kan udsætte servere for fjernkodeeksekvering og man-in-the-middle-angreb. Den giver også anbefalede afbødende tiltag og sikrere alternativer.

Sammendrag

  • Hyppige fjernhentninger planlagt som root via cron
  • SSL-validering omgås ved brug af --no-check-certificate
  • Ingen checksums/signaturer på downloadede scripts
  • Root-ejerskab og tilladelser anvendt på hentede scripts

Beviser: Cron og tilladelser

Cron-downloads (hver 3 timer og 47 minutter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-ejerskab og restriktive tilladelser (anvendt gentagne gange)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dette mønster muliggør vilkårlig kodeeksekvering fra et fjern-domæne og øger MITM-risikoen ved at springe certifikatverificering over.

Se også committet, hvor cron-URL'er blev skiftet fra GitHub CDN til slick.fyi: commit-diff.

Vejledning til afbødning

  1. Deaktiver SlickStack cron-opgaver og fjern hentede scripts fra cron-katalogerne.
  2. Revision for resterende referencer til slick.fyi og fjerntræk af scripts; erstat med versionsstyrede, checksumsikrede artefakter eller fjern helt.
  3. Skift legitimationsoplysninger og nøgler, hvis SlickStack har kørt med root-privilegier på dine systemer.
  4. Genopbyg de berørte servere, når det er muligt, for at sikre en ren tilstand.

Sikrere alternativer

Overvej WordOps eller andre værktøjer, der undgår fjernudførelse som root og leverer reviderbare, versionsstyrede udgivelser med checksums/signaturer.

Henvisninger