SlickStacki turbehoiatus

See leht võtab kokku SlickStacki turvalisusprobleemid ja selgitab, miks selle vaikimisi disain võib avada serverid kaugkoodi täitmisele ja man-in-the-middle rünnakutele. Samuti annab see leevendusmeetmeid ja turvalisemaid alternatiive.

Kokkuvõte

  • Sagedased croniga rootina ajastatud kaugallalaadimised
  • SSL-i kinnitamine jäetakse vahele, kasutades --no-check-certificate
  • Laaditud skriptidel puuduvad kontrollsummad/allkirjad
  • Laaditud skriptidele rakendatud root-omanik ja -õigused

Tõendusmaterjal: cron ja õigused

Cron-allalaadimised (iga 3 tunni 47 minuti järel)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-omanik ja piiravad õigused (rakendatud korduvalt)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

See muster võimaldab suvalist koodi täitmist kaugdomeenilt ning suurendab MITM-riski sertifikaadi kontrolli vahele jätmise kaudu.

Vaadake ka commiti, kus cron-i URL-id vahetati GitHubi CDN-ilt slick.fyi-le: commitide erinevus.

Leevendamise juhised

  1. Keela SlickStacki cron-ülesanded ja eemalda cron-kaustadest allalaaditud skriptid.
  2. Auditeerida jäävviiteid slick.fyi-le ja kaugskriptide tõmbeid; asendada versioonitud, kontrollsummaga artefaktidega või eemaldada täielikult.
  3. Vahetage tuvastusandmed ja võtmed, kui SlickStack töötas teie süsteemides root-privileegidega.
  4. Taastage mõjutatud serverid, kui võimalik, et tagada puhas olek.

Ohutumad alternatiivid

Kaaluge WordOps'i või muid tööriistu, mis väldivad kaugühenduse kaudu root-kasutajana täitmist ning pakuvad auditeeritavaid, versioonitud väljalaskeid kontrollsummade/alla­kirjadega.

Viited