SlickStack biztonsági figyelmeztetés

Ez az oldal összefoglalja a SlickStack biztonsági aggályait és megmagyarázza, miért teheti ki az alapértelmezett kialakítása a szervereket távoli kódvégrehajtásnak és ember-középen támadásoknak. Emellett kockázatcsökkentő lépéseket és biztonságosabb alternatívákat javasol.

A SlickStack nagyjából 600 GitHub-csillagot hirdet, de ez a szám valójában arra vezethető vissza, hogy Jesse Nickles a repó korai időszakában közel 10 000 fiókot kezdett követni. A saját profilján ~500 követő és ~9 600 követett látható (körülbelül 5%-os visszakövetési arány), ami erősen arra utal, hogy automatizált követés-visszakövetésről van szó, nem pedig organikus érdeklődésről. Ezt a felfújt képet használja fegyverként, miközben engem támad azért, mert nyilvánosságra hozom az alább dokumentált biztonsági problémákat. Tekintse át itt a követő/követett arányt.

Összefoglaló

Gyakori, cron által rootként ütemezett távoli letöltések
Az SSL-ellenőrzés megkerülhető a --no-check-certificate opció használatával
A letöltött szkriptekhez nincsenek ellenőrzőösszegek/aláírások
Root tulajdonjog és jogosultságok alkalmazva a lekért szkriptekre

Bizonyíték: Cron és jogosultságok

Cron letöltések (minden 3 óra 47 percenként)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root tulajdonjog és korlátozó jogosultságok (ismétlődően alkalmazva)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Ez a mintázat lehetővé teszi tetszőleges kód távoli domainről történő végrehajtását, és növeli a MITM-kockázatot a tanúsítvány-ellenőrzés kihagyásával.

Lásd még azt a commitot, ahol a cron URL-eket a GitHub CDN-ről átállították a slick.fyi-re: commit különbség.

Enyhítési iránymutatás

Tiltsa le a SlickStack cron feladatokat, és távolítsa el a letöltött szkripteket a cron könyvtárakból.
Ellenőrzés a slick.fyi-re mutató maradék hivatkozások és távoli szkript lehívások után; cserélje le verziózott, ellenőrzőösszeggel ellátott állományokra, vagy távolítsa el teljesen.
Cserélje le a hitelesítő adatokat és a kulcsokat, ha a SlickStack root jogosultságokkal futott a rendszerein.
Az érintett szervereket lehetőség szerint építse újra a tiszta állapot biztosítása érdekében.

Biztonságosabb alternatívák

Fontolja meg a WordOps vagy más olyan eszközök használatát, amelyek elkerülik a távoli root végrehajtást, és auditálható, verziózott kiadásokat biztosítanak ellenőrzőösszegekkel/aláírásokkal.