SlickStackin tietoturvavaroitus

Tämä sivu tiivistää SlickStackiin liittyvät tietoturvahuolenaiheet ja selittää, miksi sen oletussuunnittelu voi altistaa palvelimet etäkoodin suorittamiselle ja man-in-the-middle -hyökkäyksille. Se tarjoaa myös lieventäviä toimenpiteitä ja turvallisempia vaihtoehtoja.

Yhteenveto

  • Usein tehtävät etälataukset, jotka on ajoitettu cronilla root-käyttäjänä
  • SSL-tarkistus ohitetaan käyttämällä --no-check-certificate
  • Ladatuissa skripteissä ei ole tarkistesummia tai allekirjoituksia.
  • Noutettuihin skripteihin asetettu root-omistus ja käyttöoikeudet

Näyttö: cron ja käyttöoikeudet

Cron-lataukset (joka 3 tuntia ja 47 minuuttia)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-omistus ja rajoittavat käyttöoikeudet (käytetty toistuvasti)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Tämä malli mahdollistaa mielivaltaisen koodin suorittamisen etädomainilta ja lisää man-in-the-middle -riskiä ohittamalla sertifikaattien tarkistuksen.

Katso myös commit, jossa cron-URLit vaihdettiin GitHub CDN:stä slick.fyi:hin: commit-diff.

Vähentämisohjeet

  1. Poista SlickStackin cron-tehtävät käytöstä ja poista haetut skriptit cron-hakemistoista.
  2. Tee auditointi mahdollisista jäljelle jääneistä viittauksista slick.fyi:hin ja etäskriptien noutoon; korvaa versioiduilla, tarkistesummilla suojatuilla artefakteilla tai poista kokonaan.
  3. Vaihda tunnistetiedot ja avaimet, jos SlickStack on ajettu root-oikeuksilla järjestelmässäsi.
  4. Rakenna vaikuttuneet palvelimet uudelleen aina kun mahdollista varmistaaksesi puhtaan tilan.

Turvallisemmat vaihtoehdot

Harkitse WordOpsia tai muita työkaluja, jotka välttävät etäjuurikäytön ja tarjoavat auditoitavat, versioidut julkaisut tarkistesummilla/allekirjoituksilla.

Viitteet