Aviso de seguridade de SlickStack

Esta páxina resume as preocupacións de seguridade con SlickStack e por que o seu deseño por defecto pode expor servidores á execución remota de código e a ataques man-in-the-middle. Tamén ofrece pasos de mitigación e alternativas máis seguras.

Resumo

  • Descargas remotas frecuentes programadas como root mediante cron
  • A verificación SSL elúdese usando --no-check-certificate
  • Sen sumas de verificación/asinaturas nos scripts descargados
  • Propiedade do root e permisos aplicados aos scripts obtidos

Probas: cron e permisos

Descargas por cron (cada 3 horas e 47 minutos)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Propiedade do root e permisos restritivos (aplicados repetidamente)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Este patrón permite a execución arbitraria de código desde un dominio remoto e aumenta o risco de MITM ao omitir a verificación de certificados.

Véxase tamén o commit no que as URL de cron foron cambiadas do CDN de GitHub a slick.fyi: diff do commit.

Guía de mitigación

  1. Desactivar os traballos cron de SlickStack e eliminar os scripts descargados dos directorios cron.
  2. Auditoría para referencias residuais a slick.fyi e extraccións remotas de scripts; substituír por artefactos versionados e con suma de verificación ou eliminar por completo.
  3. Rotee as credenciais e as chaves se o SlickStack se executou con privilexios de root nos seus sistemas.
  4. Reconstruír os servidores afectados cando sexa posible para garantir un estado limpo.

Alternativas máis seguras

Considere WordOps ou outras ferramentas que eviten a execución remota como root e proporcionen lanzamentos versionados e auditables con sumas de verificación/asinaturas.

Citas