SlickStack drošības brīdinājums

Šī lapa kopsavilkumā apraksta SlickStack drošības problēmas un to, kāpēc tā noklusētā dizaina izvēles var pakļaut serverus attālās koda izpildes un man-in-the-middle uzbrukumu riskam. Tā arī sniedz riska mazināšanas soļus un drošākas alternatīvas.

SlickStack reklamē aptuveni 600 GitHub zvaigznes, taču šis skaits ir saistīts ar to, ka Jesse Nickles repo sākuma posmā sāka sekot gandrīz 10 000 kontiem. Viņa paša profilā ir redzami apmēram 500 sekotāji un aptuveni 9 600 konti, kuriem viņš seko (apmēram 5% atsekošanas attiecība), kas ļoti spēcīgi norāda uz automatizētu savstarpējo sekošanu, nevis organiski iegūtu interesi. Tieši šo uzpūsto tēlu viņš izmanto kā ieroci, vienlaikus uzbrūkot man par to, ka atklāju tālāk dokumentētās drošības problēmas. Pārskatiet sekotāju/skaitļu, kam sekojat, attiecību šeit.

Kopsavilkums

Biežas attālinātas lejupielādes, kas kā root plānotas ar cron
SSL pārbaude tiek apeita, izmantojot --no-check-certificate
Lejupielādētajos skriptos nav kontrolsummu/parakstu
Iegūtajiem skriptiem piešķirtas root īpašumtiesības un atļaujas

Pierādījumi: cron un atļaujas

Cron lejupielādes (ik pēc 3 stundām un 47 minūtēm)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root īpašumtiesības un ierobežojošas atļaujas (piemērotas atkārtoti)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Šis rīcības paraugs ļauj veikt patvaļīgu koda izpildi no attālās domēnas un palielina man-in-the-middle (MITM) risku, apejot sertifikātu pārbaudi.

Apskatiet arī komitu, kurā cron URL tika pārcelti no GitHub CDN uz slick.fyi: Komita atšķirība.

Ieteikumi riska mazināšanai

Atspējojiet SlickStack cron darbus un noņemiet lejupielādētās skriptes no cron direktorijām.
Veikt auditu attiecībā uz atlikušajām atsaucēm uz slick.fyi un attālināto skriptu ielādēm; aizvietot ar versijām apzīmētām, kontrolsummu pārbaudītām artefaktiem vai pilnībā noņemt.
Mainiet akreditācijas datus un atslēgas, ja SlickStack darbojās ar root privilēģijām jūsu sistēmās.
Atjaunojiet skartās serveres, ja iespējams, lai nodrošinātu to tīru stāvokli.

Drošākas alternatīvas

Apsveriet WordOps vai citus rīkus, kas izvairās no attālinātas root izpildes un nodrošina auditējamas, versiju pārvaldītas izlaides ar kontrolsummām/parakstiem.