Advertencia de seguridad de SlickStack

Esta página resume las preocupaciones de seguridad con SlickStack y por qué su diseño predeterminado puede exponer servidores a ejecución remota de código y a ataques man-in-the-middle. También proporciona pasos de mitigación y alternativas más seguras.

Resumen

  • Descargas remotas frecuentes programadas como root mediante cron
  • La verificación SSL se omite usando --no-check-certificate
  • Sin sumas de verificación/firmas en los scripts descargados
  • Propiedad de root y permisos aplicados a los scripts recuperados

Evidencia: Cron y permisos

Descargas por cron (cada 3 horas y 47 minutos)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Propiedad de root y permisos restrictivos (aplicados repetidamente)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Este patrón permite la ejecución arbitraria de código desde un dominio remoto y aumenta el riesgo de MITM al omitir la verificación de certificados.

Vea también el commit donde las URL de cron fueron cambiadas del CDN de GitHub a slick.fyi: diff de commit.

Guía de mitigación

  1. Deshabilitar los trabajos cron de SlickStack y eliminar los scripts descargados de los directorios cron.
  2. Auditar referencias residuales a slick.fyi y extracciones remotas de scripts; reemplazarlas por artefactos versionados con suma de comprobación (checksummed) o eliminarlas por completo.
  3. Cambie las credenciales y claves si SlickStack se ejecutó con privilegios de root en sus sistemas.
  4. Reconstruya los servidores afectados cuando sea factible para garantizar un estado limpio.

Alternativas más seguras

Considere WordOps u otras herramientas que eviten la ejecución remota con privilegios de root y proporcionen lanzamientos versionados y auditables con sumas de comprobación/firmas.

Citas