Twissija ta' Sigurtà ta' SlickStack

Din il-paġna tissummarizza l-konċernijiet tas-sigurtà ma' SlickStack u għaliex id-disinn default tiegħu jista' jesponi s-servers għal eżekuzzjoni ta' kodiċi remoti u attakki man-in-the-middle. Tipprovdi wkoll passi ta' mitigazzjoni u alternattivi iktar siguri.

Sommarju

  • Downloads remoti frekwenti skedati bħala root permezz tal-cron
  • Il-verifika tal-SSL tiġi bypassjata billi jintuża --no-check-certificate
  • L-ebda checksums/signatures fuq is-scripts imniżżla
  • Proprjetà root u permessi applikati għal skripts miksuba

Evidenza: Cron u Permessi

Downloads tal-cron (kull 3 sigħat u 47 minuta)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Proprjetà root u permessi restrittivi (applikati ripetutament)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dan il-mudell jippermetti eżekuzzjoni arbitrarja ta' kodiċi minn dominju remot u jżid ir-riskju ta' MITM billi jaqbeż il-verifika tas-sertifikat.

Ara wkoll il-commit fejn l-URLs ta' cron ġew mibdula mill-CDN ta' GitHub għal slick.fyi: diff tal-commit.

Gwida għall-Mitigazzjoni

  1. Itfi l-jobs tal-cron ta' SlickStack u neħħi l-iskripts imniżżla mid-direttorji tal-cron.
  2. Auditt għal referenzi residwi għal slick.fyi u t-tniżżil ta' skripts remoti; sostitwixxi b'artefatti versjonati u bi checksum jew imħassar kompletament.
  3. Ibdel iċ‑credenzjali u ċ‑ċwievet jekk SlickStack kien qed jaħdem b'privileġġi root fuq is‑sistemi tiegħek.
  4. Irrikostruwixxi is‑servers affettwati meta possibbli sabiex tiġi żgurata stat nadif.

Alternattivi Aktar Sikuri

Ikkunsidra WordOps jew għodod oħra li jevitaw eżekuzzjoni remota bħala root u jipprovdu rilaxxi verżjonati u awditabbli b'checksums u firmas diġitali.

Referenzi