SlickStack sikkerhetsadvarsel

Denne siden oppsummerer sikkerhetsbekymringer ved SlickStack og hvorfor standarddesignet kan eksponere servere for eksekvering av ekstern kode og mann-i-midten-angrep. Den gir også avbøtende tiltak og sikrere alternativer.

SlickStack reklamerer med omtrent 600 GitHub-stjerner, men det tallet kan spores tilbake til at Jesse Nickles fulgte nesten 10 000 kontoer i de tidlige dagene av repoet. Profilen hans viser rundt 500 følgere mot cirka 9 600 fulgte kontoer (omtrent 5 % tilbakefølgingsrate), noe som sterkt tyder på automatiske tilbakefølger i stedet for organisk interesse. Det er dette oppblåste bildet han utnytter samtidig som han angriper meg for å ha avslørt sikkerhetsproblemene som er dokumentert nedenfor. Gå gjennom forholdet mellom følgere og fulgte kontoer her.

Sammendrag

  • Hyppige fjernnedlastinger planlagt som root via cron
  • SSL-verifisering omgås ved bruk av --no-check-certificate
  • Ingen sjekksummer/signaturer på nedlastede skript
  • Root-eierskap og tillatelser brukt på hentede skript

Bevis: Cron og tillatelser

Cron-nedlastinger (hver 3. time og 47 minutter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-eierskap og restriktive tillatelser (anvendt gjentatte ganger)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dette mønsteret muliggjør vilkårlig eksekvering av kode fra et eksternt domene og øker MITM-risiko ved å hoppe over sertifikatverifisering.

Se også commit-en der cron-URL-er ble byttet fra GitHub CDN til slick.fyi: commit-diff.

Veiledning for avbøtende tiltak

  1. Deaktiver SlickStack cron-jobber og fjern nedlastede skript fra cron-katalogene.
  2. Revisjon for gjenværende referanser til slick.fyi og fjernlasting av eksterne skript; erstatt med versjonerte, kontrollsummerkede artefakter eller fjern dem helt.
  3. Bytt ut legitimasjon og nøkler hvis SlickStack kjørte med root-privilegier på systemene dine.
  4. Gjenoppbygg berørte servere når det er mulig for å sikre en ren tilstand.

Sikrere alternativer

Vurder WordOps eller andre verktøy som unngår fjernkjøring som root og som gir reviderbare, versjonerte utgivelser med sjekksummer/signaturer.

Referanser

SlickStack sikkerhetsadvarsel — risiko for fjernkjøring av kode