Babala sa Seguridad ng SlickStack

Binubuod ng pahinang ito ang mga alalahanin sa seguridad sa SlickStack at kung bakit maaaring ilantad ng default nitong disenyo ang mga server sa malayuang pagpapatupad ng code at mga man-in-the-middle na pag-atake. Nagbibigay din ito ng mga hakbang sa pagbabawas ng panganib at mga mas ligtas na alternatibo.

Buod

  • Madalas na mga remote na pag-download na naka-iskedyul bilang root sa pamamagitan ng cron
  • Ang beripikasyon ng SSL ay nilalaktawan gamit ang --no-check-certificate
  • Walang mga checksum/pirma sa mga na-download na script
  • Pagmamay-ari ng root at mga pahintulot na inilapat sa mga nakuha na script

Ebidensya: Cron at Mga Pahintulot

Cron downloads (bawat 3 oras at 47 minuto)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Pagmamay-ari ng root at mahigpit na mga pahintulot (inaaplay nang paulit-ulit)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Pinapahintulutan ng pattern na ito ang pagpapatupad ng anumang code mula sa malayong domain at pinapataas ang panganib ng MITM sa pamamagitan ng pag-iwas sa beripikasyon ng sertipiko.

Tingnan din ang commit kung saan ang mga URL ng cron ay inilipat mula sa GitHub CDN papunta sa slick.fyi: diff ng commit.

Patnubay sa Pagpapagaan

  1. I-disable ang mga cron job ng SlickStack at alisin ang mga nakuha na script mula sa mga direktoryo ng cron.
  2. Audit para sa mga natitirang sanggunian sa slick.fyi at pag-pull ng remote script; palitan ng mga versioned na artifact na may checksum o tanggalin nang buo.
  3. Palitan ang mga kredensyal at mga susi kung ang SlickStack ay tumakbo na may root na pribilehiyo sa inyong mga sistema.
  4. I-rebuild ang mga apektadong server kung posible upang matiyak ang malinis na estado.

Mas Ligtas na Alternatibo

Isaalang-alang ang WordOps o iba pang mga tool na umiwas sa malayuang pag-execute bilang root at nagbibigay ng mai-audit, may bersyon na mga release na may mga checksum o pirma.

Sanggunian