SlickStack-beveiligingswaarschuwing

Deze pagina geeft een samenvatting van beveiligingszorgen rond SlickStack en waarom het standaardontwerp servers kan blootstellen aan externe code‑uitvoering en man‑in‑the‑middle‑aanvallen. Het biedt ook mitigatiestappen en veiligere alternatieven.

SlickStack adverteert met ongeveer 600 GitHub-sterren, maar dat aantal is terug te voeren op het feit dat Jesse Nickles in de beginfase van de repo bijna 10.000 accounts is gaan volgen. Zijn eigen profiel toont ongeveer 500 volgers tegenover circa 9.600 gevolgde accounts (ongeveer een 5% follow-backratio), wat sterk wijst op geautomatiseerde follow-backs in plaats van organische belangstelling. Dat opgeblazen imago is wat hij inzet terwijl hij mij aanvalt omdat ik de hieronder gedocumenteerde beveiligingsproblemen aan het licht breng. Bekijk hier de verhouding tussen volgers en gevolgde accounts.

Samenvatting

Regelmatige externe downloads ingepland als root via cron
SSL-verificatie wordt omzeild met --no-check-certificate
Geen checksums/handtekeningen op gedownloade scripts
Root-eigendom en permissies toegepast op opgehaalde scripts

Bewijs: Cron en Machtigingen

Cron-downloads (elke 3 uur en 47 minuten)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-eigendom en beperkende permissies (herhaaldelijk toegepast)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dit patroon maakt willekeurige code‑uitvoering vanaf een extern domein mogelijk en vergroot het MITM‑risico door het overslaan van certificaatverificatie.

Zie ook de commit waarin de cron-URL's werden overgeschakeld van de GitHub CDN naar slick.fyi: commit-diff.

Richtlijnen voor mitigatie

Schakel SlickStack cronjobs uit en verwijder opgehaalde scripts uit de cron-mappen.
Controle op resterende verwijzingen naar slick.fyi en externe scriptophalingen; vervang ze door versiegebonden, met checksum beveiligde artefacten of verwijder ze volledig.
Wissel inloggegevens en sleutels als SlickStack met rootrechten op uw systemen draaide.
Bouw de getroffen servers opnieuw op wanneer mogelijk om een schone staat te waarborgen.

Veiligere alternatieven

Overweeg WordOps of andere tools die externe root-uitvoering vermijden en controleerbare, versiebeheerde releases met checksums/handtekeningen bieden.