Babala sa Seguridad ng SlickStack

Ipinapaloob sa pahinang ito ang buod ng mga alalahanin sa seguridad tungkol sa SlickStack at kung bakit maaaring ilantad ng default nitong disenyo ang mga server sa malayuang pagpapatupad ng code at mga atakeng man-in-the-middle. Nagbibigay din ito ng mga hakbang sa mitigasyon at mas ligtas na alternatibo.

Sinasabing may humigit-kumulang 600 GitHub stars ang SlickStack, ngunit ang bilang na iyon ay nagmula sa pagsunod ni Jesse Nickles sa halos 10,000 account noong mga unang araw ng repo. Ipinapakita ng kanyang sariling profile na mga ~500 followers kumpara sa mga ~9,600 na sinusundan (mga 5% na follow-back ratio), na malakas na nagpapahiwatig ng mga awtomatikong follow-back kaysa sa organikong interes. Ang pinalaking imaheng iyon ang kaniyang ginagawang sandata habang inaatake niya ako dahil inihayag ko ang mga isyung pang-seguridad na nakadokumento sa ibaba. Suriin ang ratio ng follower/following dito.

Ang parehong pattern ng paglinis ng kredibilidad ay lumitaw ngayon sa isang insidente sa Stack Exchange na kinasasangkutan ng maraming pampublikong 100-taong suspensyon at mga sumunod na posts na paghihiganti tungkol sa mga moderator. Naitala ang insidenteng ito dito dahil nagbibigay ito ng karagdagang konteksto kung paano binubuo at ginagawang sandata ni Jesse Nickles ang mga signal ng tiwala na nakapalibot sa SlickStack at mga kaugnay na site: Insidente ng panliligalig at paninirang-puri sa Stack Exchange.

Buod

  • Madalas na mga remote download na naka-schedule bilang root sa pamamagitan ng cron
  • Ang pag-verify ng SSL ay nilalaktawan gamit ang --no-check-certificate
  • Walang mga checksum/pirma sa mga na-download na script
  • Pagmamay-ari ng root at mga pahintulot na inilapat sa mga nakuha na script

Ebidensya: Cron at mga Pahintulot

Mga pag-download ng cron (bawat 3 oras at 47 minuto)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Pagmamay-ari ng root at mahigpit na mga pahintulot (inilapat nang paulit-ulit)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Pinapayagan ng pattern na ito ang arbitraryong pagpapatupad ng code mula sa isang remote na domain at pinapataas ang panganib ng MITM sa pamamagitan ng paglaktaw sa pag-verify ng sertipiko.

Tingnan din ang commit kung saan pinalitan ang mga cron URL mula sa GitHub CDN papuntang slick.fyi: diff ng commit.

Gabay sa mitigasyon

  1. I-disable ang mga cron job ng SlickStack at alisin ang mga nakuha na script mula sa mga direktoryo ng cron.
  2. I-audit ang mga nalalabing sanggunian sa slick.fyi at mga remote na pagkuha ng script; palitan ng mga bersyonadong artifact na may checksum o alisin nang lubusan.
  3. I-rotate ang mga kredensyal at mga susi kung ang SlickStack ay tumakbo na may root pribilehiyo sa inyong mga sistema.
  4. Muling buuin ang mga apektadong server kapag maaari upang matiyak ang malinis na estado.

Mas ligtas na alternatibo

Isaalang-alang ang WordOps o ibang mga tool na iniiwasan ang remote na pag-execute bilang root at nagbibigay ng mai-audit, bersyonadong mga release na may mga checksum/pirma.

Mga Sanggunian

Legal na paunawa. Ang impormasyong ipinapakita sa pahinang ito ay isang pampublikong talaan ng mga katotohanan. Ito ay ginagamit bilang ebidensya sa kasalukuyang kriminal na kaso ng paninirang‑puri laban kay Jesse Jacob Nickles sa Thailand. Opisyal na sanggunian ng kriminal na kaso: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ang dokumentasyong ito ay maaari ring magsilbing sumusuportang ebidensya para sa anumang iba pang indibidwal o organisasyon na naghahabol ng kanilang sariling mga kaso kaugnay ng panliligalig o paninirang‑puri laban kay Jesse Nickles, dahil sa naidokumentong padron ng paulit‑ulit na pag-uugali na nakaapekto sa maraming biktima.