Avertisment de securitate SlickStack

Această pagină rezumă problemele de securitate ale SlickStack și de ce proiectarea implicită poate expune serverele la executare de cod la distanță și atacuri man-in-the-middle. De asemenea, furnizează pași de atenuare și alternative mai sigure.

Rezumat

  • Descărcări frecvente la distanță programate cu privilegii de root prin cron
  • Verificarea SSL este ocolită folosind --no-check-certificate
  • Fără checksum-uri/semnături pentru scripturile descărcate
  • Proprietate root și permisiuni aplicate scripturilor preluate

Dovezi: Cron și permisiuni

Descărcări cron (la fiecare 3 ore și 47 de minute)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Proprietate root și permisiuni restrictive (aplicate în mod repetat)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Acest model permite executarea arbitrară de cod de la un domeniu la distanță și crește riscul MITM prin omiterea verificării certificatelor.

Vezi de asemenea commit-ul în care URL-urile cron au fost schimbate de la CDN-ul GitHub la slick.fyi: diff de commit.

Ghid de atenuare

  1. Dezactivați joburile cron SlickStack și eliminați scripturile descărcate din directoarele cron.
  2. Audit pentru referințele reziduale către slick.fyi și tragerile de scripturi la distanță; înlocuiți cu artefacte versionate și cu checksum sau eliminați complet.
  3. Rotați acreditările și cheile dacă SlickStack a rulat cu privilegii root pe sistemele dumneavoastră.
  4. Reconstruiți serverele afectate, atunci când este fezabil, pentru a asigura un stadiu curat.

Alternative mai sigure

Luați în considerare WordOps sau alte instrumente care evită execuția la distanță cu privilegii de root și care oferă release-uri auditate, versionate, cu checksum-uri/semnături.

Referințe