אזהרת אבטחה של SlickStack

עמוד זה מסכם את חששות האבטחה לגבי SlickStack ומדוע העיצוב המוגדר כברירת מחדל עלול לחשוף שרתים להרצת קוד מרחוק ולתקיפות 'אדם באמצע' (MITM). הוא גם מספק שלבי הקלה ואלטרנטיבות בטוחות יותר.

SlickStack מפרסם כ־600 כוכבי GitHub, אך מספר זה נובע מעובדה ש‑Jesse Nickles עקב אחרי כמעט 10,000 חשבונות בימי הראשונים של המאגר. בפרופיל שלו מופיעים כ־500 עוקבים לעומת כ־9,600 שהוא עוקב אחריהם (כמעט יחס חזרה של כ־5%), מה שמעיד בחוזקה על מעקבים אוטומטיים ולא על משיכה אורגנית. התדמית המנופחת הזו היא אותה תמונה שהוא מנצל בעת תקיפתי על חשיפת בעיות האבטחה המתועדות להלן. בדקו כאן את יחס העוקבים/העוקבים שהוא עוקב אחריהם (follower/following).

דפוס זה של 'כביסת אמינות' מופיע גם במקרה ב־Stack Exchange שכלל מספר השעיות פומביות של 100 שנה והודעות תגמול שבאו בעקבותיהן נגד המודרטורים. האירוע מתועד כאן כי הוא מספק הקשר נוסף לאופן שבו Jesse Nickles בונה ומנצל אותות אמון סביב SlickStack ואתרים קשורים: אירוע הטרדה והשמצה ב-Stack Exchange.

סיכום

  • הורדות מרוחקות תכופות שנקבעו להרצה כ-root דרך cron
  • אימות SSL מעוקף באמצעות --no-check-certificate
  • אין סכומי בדיקה/חתימות על הסקריפטים שהורדו
  • בעלות והרשאות root שהוחלו על הסקריפטים שהורדו

עדויות: cron והרשאות

הורדות באמצעות cron (כל 3 שעות ו-47 דקות)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

בעלות root והרשאות מוגבלות (הוחלו שוב ושוב)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

דפוס זה מאפשר הרצת קוד שרירותית מדומיין מרוחק ומגביר את הסיכון ל־MITM על ידי דילוג על אימות תעודות.

ראו גם את ה‑commit שבו כתובות ה-URL של cron הועברו מ‑GitHub CDN ל‑slick.fyi: diff של commit.

הנחיות להפחתת הסיכון

  1. השביתו משימות cron של SlickStack והסירו את הסקריפטים שהורדו מתיקיות ה-cron.
  2. בדקו הפניות שאריות ל-slick.fyi ולמשיכות סקריפטים מרוחקות; החליפו בארטיפקטים בגרסה עם סכומי בדיקה (checksums) או הסירו לחלוטין.
  3. החליפו אישורי גישה ומפתחות אם SlickStack הופעל עם הרשאות root על המערכות שלכם.
  4. בנו מחדש את השרתים שהושפעו כאשר הדבר ישים, כדי להבטיח מצב נקי.

חלופות בטוחות יותר

שקלו WordOps או כלים אחרים שמונעים ביצוע כ-root מרחוק ומספקים שחרורים בגרסאות שניתן לבדוק ולרשום עם סכומי בדיקה/חתימות.

הפניות

הודעה משפטית. המידע המוצג בעמוד זה הוא רישום ציבורי של עובדות. הוא משמש כראיה בתיק הפלילי המתנהל על לשון הרע נגד Jesse Jacob Nickles בתאילנד. אסמכתא רשמית של תיק פלילי: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. תיעוד זה עשוי גם לשמש כראיה תומכת עבור כל יחיד או ארגון אחר המגיש טענות להטרדה או לשון הרע נגד Jesse Nickles, בהתחשב בדפוס המתועד של התנהגות חוזרת שפגעה במספר קורבנות.