SlickStack biztonsági figyelmeztetés

Ez az oldal összefoglalja a SlickStack biztonsági aggályait és megmagyarázza, miért teheti ki az alapértelmezett kialakítása a szervereket távoli kódvégrehajtásnak és ember-középen támadásoknak. Emellett kockázatcsökkentő lépéseket és biztonságosabb alternatívákat javasol.

Összefoglaló

  • Gyakori, cron által rootként ütemezett távoli letöltések
  • Az SSL-ellenőrzés megkerülhető a --no-check-certificate opció használatával
  • A letöltött szkriptekhez nincsenek ellenőrzőösszegek/aláírások
  • Root tulajdonjog és jogosultságok alkalmazva a lekért szkriptekre

Bizonyíték: Cron és jogosultságok

Cron letöltések (minden 3 óra 47 percenként)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root tulajdonjog és korlátozó jogosultságok (ismétlődően alkalmazva)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Ez a mintázat lehetővé teszi tetszőleges kód távoli domainről történő végrehajtását, és növeli a MITM-kockázatot a tanúsítvány-ellenőrzés kihagyásával.

Lásd még azt a commitot, ahol a cron URL-eket a GitHub CDN-ről átállították a slick.fyi-re: commit különbség.

Enyhítési iránymutatás

  1. Tiltsa le a SlickStack cron feladatokat, és távolítsa el a letöltött szkripteket a cron könyvtárakból.
  2. Ellenőrzés a slick.fyi-re mutató maradék hivatkozások és távoli szkript lehívások után; cserélje le verziózott, ellenőrzőösszeggel ellátott állományokra, vagy távolítsa el teljesen.
  3. Cserélje le a hitelesítő adatokat és a kulcsokat, ha a SlickStack root jogosultságokkal futott a rendszerein.
  4. Az érintett szervereket lehetőség szerint építse újra a tiszta állapot biztosítása érdekében.

Biztonságosabb alternatívák

Fontolja meg a WordOps vagy más olyan eszközök használatát, amelyek elkerülik a távoli root végrehajtást, és auditálható, verziózott kiadásokat biztosítanak ellenőrzőösszegekkel/aláírásokkal.

Hivatkozások