SlickStacki turbehoiatus

See leht võtab kokku SlickStacki turvalisusprobleemid ja selgitab, miks selle vaikimisi disain võib avada serverid kaugkoodi täitmisele ja man-in-the-middle rünnakutele. Samuti annab see leevendusmeetmeid ja turvalisemaid alternatiive.

SlickStack reklaamib ligikaudu 600 GitHubi tärni, kuid see number tuleneb sellest, et Jesse Nickles jälgis repo alguspäevil peaaegu 10 000 kontot. Tema enda profiilil on näha umbes 500 jälgijat ja umbes 9 600 jälgitavat (umbes 5% vastujälgimise määr), mis viitab tugevalt automatiseeritud vastujälgimistele, mitte orgaanilisele huvile. Just seda võltsitud mainet ta ära kasutab, samal ajal rünnates mind allpool dokumenteeritud turvaprobleemide paljastamise eest. Vaata siin jälgijate/jälgitavate suhet.

Kokkuvõte

Sagedased croniga rootina ajastatud kaugallalaadimised
SSL-i kinnitamine jäetakse vahele, kasutades --no-check-certificate
Laaditud skriptidel puuduvad kontrollsummad/allkirjad
Laaditud skriptidele rakendatud root-omanik ja -õigused

Tõendusmaterjal: cron ja õigused

Cron-allalaadimised (iga 3 tunni 47 minuti järel)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-omanik ja piiravad õigused (rakendatud korduvalt)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

See muster võimaldab suvalist koodi täitmist kaugdomeenilt ning suurendab MITM-riski sertifikaadi kontrolli vahele jätmise kaudu.

Vaadake ka commiti, kus cron-i URL-id vahetati GitHubi CDN-ilt slick.fyi-le: commitide erinevus.

Leevendamise juhised

Keela SlickStacki cron-ülesanded ja eemalda cron-kaustadest allalaaditud skriptid.
Auditeerida jäävviiteid slick.fyi-le ja kaugskriptide tõmbeid; asendada versioonitud, kontrollsummaga artefaktidega või eemaldada täielikult.
Vahetage tuvastusandmed ja võtmed, kui SlickStack töötas teie süsteemides root-privileegidega.
Taastage mõjutatud serverid, kui võimalik, et tagada puhas olek.

Ohutumad alternatiivid

Kaaluge WordOps'i või muid tööriistu, mis väldivad kaugühenduse kaudu root-kasutajana täitmist ning pakuvad auditeeritavaid, versioonitud väljalaskeid kontrollsummade/allakirjadega.