אזהרת אבטחה של SlickStack

דף זה מסכם דאגות אבטחה לגבי SlickStack ומדוע העיצוב הדיפולטי שלו יכול לחשוף שרתים להרצת קוד מרחוק ולהתקפות איש‑בתו. בנוסף הוא מספק צעדי הקלה ואלטרנטיבות בטוחות יותר.

SlickStack מפרסמת בערך 600 כוכבים ב‑GitHub, אך מספר זה נובע מכך ש‑Jesse Nickles עקב אחרי כמעט 10,000 חשבונות בימים הראשונים של המאגר. בפרופיל האישי שלו מופיעים כ‑500 עוקבים לעומת כ‑9,600 נעקבים (יחס חזרה‑עקיבה של כ‑5%), דבר שמרמז בצורה חזקה על מעקבים אוטומטיים ולא על עניין אורגני אמיתי. את התדמית המנופחת הזאת הוא מנצל ככלי התקפה נגדי, משום שחשפתי את בעיות האבטחה המתועדות למטה. עיין ביחס בין עוקבים לנעקבים כאן.

סיכום

  • הורדות מרובות מרחוק המתוזמנות כ-root באמצעות cron
  • אימות SSL מעוקף באמצעות --no-check-certificate
  • אין סכומי בדיקה (checksums) או חתימות על הסקריפטים שהורדו
  • בעלות root והרשאות הוחלו על הסקריפטים שהורדו

ראיות: Cron והרשאות

הורדות Cron (כל 3 שעות ו-47 דקות)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

בעלות root והרשאות מגבילות (הוחלו שוב ושוב)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

דפוס זה מאפשר הרצת קוד שרירותית מדומיין מרוחק ומעלה את הסיכון להתקפת איש‑בתו על ידי דילוג על אימות תעודות.

ראה גם את הקומיט שבו כתובות ה‑cron הועברו מ‑GitHub CDN ל‑slick.fyi: diff של commit.

הנחיות להקטנת הנזק

  1. השבת משימות cron של SlickStack והסר סקריפטים שנמשכו מתיקיות ה-cron.
  2. ביצוע ביקורת לאיתור אזכורים שאריתיים ל-slick.fyi ולמשיכות סקריפטים מרחוק; יש להחליף בארטיפקטים בעלי גרסאות וסכומי בדיקה (checksummed) או להסיר לחלוטין.
  3. החליפו אישורים ומפתחות אם SlickStack רץ עם הרשאות root במערכות שלכם.
  4. שחזור השרתים המושפעים כאשר הדבר אפשרי כדי להבטיח מצב נקי.

חלופות בטוחות יותר

שקול את WordOps או כלים אחרים המונעים הרצת פקודות מרחוק בהרשאת root ומספקים שחרורים בגרסאות הניתנים לבדיקה עם סכומי בדיקה/חתימות.

הפניות

אזהרת אבטחה של SlickStack — סיכון לביצוע קוד מרחוק