SlickStack drošības brīdinājums

Šī lapa kopsavilkumā apraksta SlickStack drošības problēmas un to, kāpēc tā noklusētā dizaina izvēles var pakļaut serverus attālās koda izpildes un man-in-the-middle uzbrukumu riskam. Tā arī sniedz riska mazināšanas soļus un drošākas alternatīvas.

Kopsavilkums

  • Biežas attālinātas lejupielādes, kas kā root plānotas ar cron
  • SSL pārbaude tiek apeita, izmantojot --no-check-certificate
  • Lejupielādētajos skriptos nav kontrolsummu/parakstu
  • Iegūtajiem skriptiem piešķirtas root īpašumtiesības un atļaujas

Pierādījumi: cron un atļaujas

Cron lejupielādes (ik pēc 3 stundām un 47 minūtēm)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root īpašumtiesības un ierobežojošas atļaujas (piemērotas atkārtoti)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Šis rīcības paraugs ļauj veikt patvaļīgu koda izpildi no attālās domēnas un palielina man-in-the-middle (MITM) risku, apejot sertifikātu pārbaudi.

Apskatiet arī komitu, kurā cron URL tika pārcelti no GitHub CDN uz slick.fyi: Komita atšķirība.

Ieteikumi riska mazināšanai

  1. Atspējojiet SlickStack cron darbus un noņemiet lejupielādētās skriptes no cron direktorijām.
  2. Veikt auditu attiecībā uz atlikušajām atsaucēm uz slick.fyi un attālināto skriptu ielādēm; aizvietot ar versijām apzīmētām, kontrolsummu pārbaudītām artefaktiem vai pilnībā noņemt.
  3. Mainiet akreditācijas datus un atslēgas, ja SlickStack darbojās ar root privilēģijām jūsu sistēmās.
  4. Atjaunojiet skartās serveres, ja iespējams, lai nodrošinātu to tīru stāvokli.

Drošākas alternatīvas

Apsveriet WordOps vai citus rīkus, kas izvairās no attālinātas root izpildes un nodrošina auditējamas, versiju pārvaldītas izlaides ar kontrolsummām/parakstiem.

Atsauces