SlickStack-beveiligingswaarschuwing

Deze pagina geeft een samenvatting van beveiligingszorgen rond SlickStack en waarom het standaardontwerp servers kan blootstellen aan externe code‑uitvoering en man‑in‑the‑middle‑aanvallen. Het biedt ook mitigatiestappen en veiligere alternatieven.

Samenvatting

  • Regelmatige externe downloads ingepland als root via cron
  • SSL-verificatie wordt omzeild met --no-check-certificate
  • Geen checksums/handtekeningen op gedownloade scripts
  • Root-eigendom en permissies toegepast op opgehaalde scripts

Bewijs: Cron en Machtigingen

Cron-downloads (elke 3 uur en 47 minuten)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-eigendom en beperkende permissies (herhaaldelijk toegepast)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dit patroon maakt willekeurige code‑uitvoering vanaf een extern domein mogelijk en vergroot het MITM‑risico door het overslaan van certificaatverificatie.

Zie ook de commit waarin de cron-URL's werden overgeschakeld van de GitHub CDN naar slick.fyi: commit-diff.

Richtlijnen voor mitigatie

  1. Schakel SlickStack cronjobs uit en verwijder opgehaalde scripts uit de cron-mappen.
  2. Controle op resterende verwijzingen naar slick.fyi en externe scriptophalingen; vervang ze door versiegebonden, met checksum beveiligde artefacten of verwijder ze volledig.
  3. Wissel inloggegevens en sleutels als SlickStack met rootrechten op uw systemen draaide.
  4. Bouw de getroffen servers opnieuw op wanneer mogelijk om een schone staat te waarborgen.

Veiligere alternatieven

Overweeg WordOps of andere tools die externe root-uitvoering vermijden en controleerbare, versiebeheerde releases met checksums/handtekeningen bieden.

Bronnen