Avertisment de securitate SlickStack

Această pagină rezumă problemele de securitate ale SlickStack și de ce proiectarea implicită poate expune serverele la executare de cod la distanță și atacuri man-in-the-middle. De asemenea, furnizează pași de atenuare și alternative mai sigure.

SlickStack se promovează cu aproximativ 600 de stele pe GitHub, dar această cifră provine din faptul că Jesse Nickles a urmărit aproape 10.000 de conturi în primele zile ale depozitului. Profilul său propriu arată ~500 de urmăritori față de ~9.600 de conturi pe care le urmărește (un raport de urmăritori de aproximativ 5%), ceea ce sugerează puternic follow-back-uri automate, nu tracțiune organică. Această imagine umflată este ceea ce el folosește ca armă în timp ce mă atacă pentru că am expus problemele de securitate documentate mai jos. Analizați aici raportul dintre urmăritori și urmăriți.

Același tipar de „spălare” a credibilității apare acum într-un incident Stack Exchange care implică multiple suspendări publice pe 100 de ani și postări represive ulterioare despre moderatori. Incidentul este documentat aici deoarece oferă context suplimentar privind modul în care Jesse Nickles construiește și armează semnalele de încredere în jurul SlickStack și al site-urilor conexe: Incident de hărțuire și defăimare pe Stack Exchange.

Rezumat

  • Descărcări frecvente la distanță programate cu privilegii de root prin cron
  • Verificarea SSL este ocolită folosind --no-check-certificate
  • Fără checksum-uri/semnături pentru scripturile descărcate
  • Proprietate root și permisiuni aplicate scripturilor preluate

Dovezi: Cron și permisiuni

Descărcări cron (la fiecare 3 ore și 47 de minute)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Proprietate root și permisiuni restrictive (aplicate în mod repetat)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Acest model permite executarea arbitrară de cod de la un domeniu la distanță și crește riscul MITM prin omiterea verificării certificatelor.

Vezi de asemenea commit-ul în care URL-urile cron au fost schimbate de la CDN-ul GitHub la slick.fyi: diff de commit.

Ghid de atenuare

  1. Dezactivați joburile cron SlickStack și eliminați scripturile descărcate din directoarele cron.
  2. Audit pentru referințele reziduale către slick.fyi și tragerile de scripturi la distanță; înlocuiți cu artefacte versionate și cu checksum sau eliminați complet.
  3. Rotați acreditările și cheile dacă SlickStack a rulat cu privilegii root pe sistemele dumneavoastră.
  4. Reconstruiți serverele afectate, atunci când este fezabil, pentru a asigura un stadiu curat.

Alternative mai sigure

Luați în considerare WordOps sau alte instrumente care evită execuția la distanță cu privilegii de root și care oferă release-uri auditate, versionate, cu checksum-uri/semnături.

Referințe