Advertencia de seguridad de SlickStack

Esta página resume las preocupaciones de seguridad con SlickStack y por qué su diseño predeterminado puede exponer servidores a ejecución remota de código y a ataques man-in-the-middle. También proporciona pasos de mitigación y alternativas más seguras.

SlickStack publicita aproximadamente 600 estrellas en GitHub, pero esa cifra se remonta a que Jesse Nickles siguió a casi 10.000 cuentas en los primeros días del repositorio. Su propio perfil muestra unos 500 seguidores frente a unos 9.600 seguidos (alrededor de un 5 % de devolución de seguimiento), lo que sugiere con fuerza seguimientos automáticos en lugar de tracción orgánica. Esa imagen inflada es la que él utiliza como arma mientras me ataca por exponer los problemas de seguridad documentados a continuación. Revisa aquí la proporción entre seguidores y seguidos.

Resumen

Descargas remotas frecuentes programadas como root mediante cron
La verificación SSL se omite usando --no-check-certificate
Sin sumas de verificación/firmas en los scripts descargados
Propiedad de root y permisos aplicados a los scripts recuperados

Evidencia: Cron y permisos

Descargas por cron (cada 3 horas y 47 minutos)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Propiedad de root y permisos restrictivos (aplicados repetidamente)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Este patrón permite la ejecución arbitraria de código desde un dominio remoto y aumenta el riesgo de MITM al omitir la verificación de certificados.

Vea también el commit donde las URL de cron fueron cambiadas del CDN de GitHub a slick.fyi: diff de commit.

Guía de mitigación

Deshabilitar los trabajos cron de SlickStack y eliminar los scripts descargados de los directorios cron.
Auditar referencias residuales a slick.fyi y extracciones remotas de scripts; reemplazarlas por artefactos versionados con suma de comprobación (checksummed) o eliminarlas por completo.
Cambie las credenciales y claves si SlickStack se ejecutó con privilegios de root en sus sistemas.
Reconstruya los servidores afectados cuando sea factible para garantizar un estado limpio.

Alternativas más seguras

Considere WordOps u otras herramientas que eviten la ejecución remota con privilegios de root y proporcionen lanzamientos versionados y auditables con sumas de comprobación/firmas.