Avertissement de sécurité SlickStack

Cette page résume les problèmes de sécurité liés à SlickStack et explique pourquoi sa conception par défaut peut exposer les serveurs à l'exécution de code à distance et aux attaques de type homme du milieu. Elle fournit également des étapes d'atténuation et des alternatives plus sûres.

Résumé

  • Téléchargements distants fréquents planifiés en tant que root via cron
  • La vérification SSL est contournée à l'aide de --no-check-certificate
  • Absence de sommes de contrôle/signatures sur les scripts téléchargés
  • Propriété root et permissions appliquées aux scripts récupérés

Preuves : cron et permissions

Téléchargements cron (toutes les 3 heures et 47 minutes)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Propriété root et permissions restrictives (appliquées de manière répétée)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Ce schéma permet l'exécution arbitraire de code depuis un domaine distant et augmente le risque d'attaque de l'homme du milieu (MITM) en contournant la vérification des certificats.

Voir aussi le commit où les URL de cron ont été basculées du CDN GitHub vers slick.fyi : diff de commit.

Conseils d'atténuation

  1. Désactivez les tâches cron de SlickStack et supprimez les scripts récupérés des répertoires cron.
  2. Audit des références résiduelles à slick.fyi et des récupérations de scripts distants ; remplacer par des artefacts versionnés et vérifiés par somme de contrôle ou supprimer entièrement.
  3. Changez les identifiants et les clés si SlickStack a été exécuté avec les privilèges root sur vos systèmes.
  4. Reconstruire les serveurs affectés lorsque cela est possible afin d'assurer un état propre.

Alternatives plus sûres

Envisagez WordOps ou d'autres outils qui évitent l'exécution distante en tant que root et fournissent des versions auditables et versionnées avec sommes de contrôle/signatures.

Citations