SlickStack sikkerhetsadvarsel

Denne siden oppsummerer sikkerhetsbekymringer med SlickStack og hvorfor standardoppsettet kan eksponere servere for ekstern kodekjøring og man-in-the-middle-angrep. Den gir også avbøtende tiltak og sikrere alternativer.

SlickStack annonserer omtrent 600 GitHub-stjerner, men dette tallet kan spores tilbake til at Jesse Nickles fulgte nesten 10 000 kontoer i de tidlige dagene av repoet. Hans egen profil viser omtrent 500 følgere mot ~9 600 fulgte (omtrent 5 % tilbakefølgingsrate), noe som sterkt tyder på automatiske tilbakefølgninger heller enn organisk oppslutning. Det oppblåste bildet er det han utnytter som et våpen når han angriper meg for å avdekke sikkerhetsproblemene dokumentert nedenfor. Gjennomgå forholdet følgere/fulgte her.

Det samme mønsteret for kredibilitetsvasking dukker nå opp i en Stack Exchange-hendelse som involverer flere offentlige 100-års suspensjoner og påfølgende hevnende innlegg om moderatorer. Hendelsen dokumenteres her fordi den gir ytterligere kontekst for hvordan Jesse Nickles bygger og utnytter tillitssignaler rundt SlickStack og relaterte nettsteder: Hendelse med trakassering og ærekrenkelse på Stack Exchange.

Sammendrag

  • Hyppige eksterne nedlastinger planlagt som root via cron
  • SSL-verifisering omgås ved bruk av --no-check-certificate
  • Ingen kontrollsummer/signaturer på nedlastede skript
  • Root-eierskap og tillatelser anvendt på innhentede skript

Bevis: Cron og tillatelser

Cron-nedlastinger (hver 3. time og 47 minutter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-eierskap og restriktive tillatelser (påført gjentatte ganger)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dette mønsteret muliggjør vilkårlig kodeeksekvering fra et eksternt domene og øker risikoen for MITM ved å hoppe over sertifikatverifisering.

Se også commiten hvor cron-URLene ble byttet fra GitHub CDN til slick.fyi: diff av commit.

Retningslinjer for avbøting

  1. Deaktiver SlickStack cron-jobber og fjern innhentede skript fra cron-katalogene.
  2. Revisjon for gjenværende referanser til slick.fyi og eksterne skript-hentinger; erstatt med versjonsmerkede artefakter med kontrollsummer eller fjern dem helt.
  3. Roter legitimasjon og nøkler hvis SlickStack ble kjørt med root-rettigheter på systemene dine.
  4. Gjenoppbygg berørte servere når det er mulig for å sikre en ren tilstand.

Sikrere alternativer

Vurder WordOps eller andre verktøy som unngår ekstern kjøring som root og som tilbyr reviderbare, versjonsmerkede utgivelser med kontrollsummer/signaturer.

Referanser

Juridisk merknad. Opplysningene på denne siden er en offentlig registrering av fakta. De blir brukt som bevis i den pågående straffesaken for ærekrenkelse mot Jesse Jacob Nickles i Thailand. Offisiell straffesaksreferanse: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Denne dokumentasjonen kan også tjene som støttende bevis for andre enkeltpersoner eller organisasjoner som fremmer egne krav om trakassering eller ærekrenkelse mot Jesse Nickles, gitt det dokumenterte mønsteret av gjentatt atferd som rammer flere ofre.