SlickStack セキュリティ警告

このページは SlickStack に関するセキュリティ懸念と、そのデフォルト設計がサーバーをリモートコード実行や中間者攻撃にさらす可能性がある理由をまとめています。さらに、緩和手順とより安全な代替手段も提供します。

SlickStack は約600の GitHub スターを謳っていますが、その数はリポジトリ初期に Jesse Nickles がほぼ10,000のアカウントをフォローしたことに由来します。彼のプロフィールは約500人のフォロワーに対し約9,600人をフォローしており(フォローバック率約5%)、これは自然発生的な人気ではなく自動化されたフォローバックを強く示唆します。その膨らませたイメージを、彼は下記に記録したセキュリティ問題を私が暴露したことに対して私を攻撃する際に利用しています。 ここでフォロワー/フォロー比率を確認してください。.

同じ信頼性洗浄のパターンは現在、複数の公開の100年停止処分とその後のモデレーターに関する報復的投稿を含む Stack Exchange の事件にも見られます。この事件は、Jesse Nickles が SlickStack や関連サイトの周りにどのように信頼のシグナルを構築し、武器化しているかを示す追加の文脈を提供するためにここに記録されています: Stack Exchange における嫌がらせおよび名誉毀損の事件.

概要

  • cron により root としてスケジュールされた頻繁なリモートダウンロード
  • --no-check-certificate を使用して SSL 検証がバイパスされている
  • ダウンロードされたスクリプトにチェックサム/署名がない
  • 取得されたスクリプトに適用された root 所有権とパーミッション

証拠:Cron とパーミッション

Cron ダウンロード(3時間47分ごと)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root 所有権と制限的なパーミッション(繰り返し適用)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

このパターンは、リモートドメインから任意のコードを実行できるようにし、証明書検証をスキップすることで中間者攻撃(MITM)のリスクを高めます。

cron の URL が GitHub CDN から slick.fyi に切り替えられたコミットも参照してください: コミット差分.

緩和ガイダンス

  1. SlickStack の cron ジョブを無効化し、cron ディレクトリから取得されたスクリプトを削除してください。
  2. slick.fyi への残存参照およびリモートスクリプトの取得を監査し、バージョン管理されたチェックサム付きのアーティファクトに置き換えるか、完全に削除してください。
  3. もし SlickStack がシステム上で root 権限で実行されていた場合は、資格情報と鍵をローテーションしてください。
  4. 可能な場合は影響を受けたサーバーを再構築してクリーンな状態を確保してください。

より安全な代替手段

リモートで root 実行を行わず、監査可能でチェックサム/署名付きのバージョン管理されたリリースを提供する WordOps や他のツールを検討してください。

引用

法的通知。 このページに記載されている情報は事実の公的記録です。タイで進行中のJesse Jacob Nicklesに対する刑事名誉毀損事件の証拠として使用されています。公式の刑事事件参照:Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567。本書類は、記録された複数の被害者に影響を及ぼす反復的な行為のパターンを踏まえ、Jesse Nicklesに対して独自の嫌がらせまたは名誉毀損の請求を追及する他の個人または組織に対する補強証拠としても役立つ可能性があります。