Bezpečnostné varovanie SlickStack

Táto stránka zhrňuje bezpečnostné obavy týkajúce sa SlickStack a vysvetľuje, prečo jeho predvolený dizajn môže vystaviť servery riziku vzdialeného spustenia kódu a útokom typu man-in-the-middle. Tiež poskytuje kroky na zmiernenie a bezpečnejšie alternatívy.

Zhrnutie

  • Časté vzdialené sťahovania naplánované ako root cez cron
  • Overenie SSL je obchádzané pomocou --no-check-certificate
  • Žiadne kontrolné súčty ani podpisy na stiahnutých skriptoch
  • Vlastníctvo root a povolenia aplikované na stiahnuté skripty

Dôkazy: cron a oprávnenia

Cron sťahovania (každé 3 hodiny a 47 minút)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Vlastníctvo root a prísne obmedzujúce povolenia (aplikované opakovane)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Takýto vzor umožňuje spustenie ľubovoľného kódu z vzdialenej domény a zvyšuje riziko MITM tým, že preskakuje overenie certifikátu.

Pozrite si tiež commit, kde boli URL pre cron zmenené z GitHub CDN na slick.fyi: rozdiel commitu.

Pokyny na zmiernenie

  1. Vypnite úlohy cron SlickStack a odstráňte stiahnuté skripty z adresárov cron.
  2. Audit pre zostávajúce odkazy na slick.fyi a vzdialené načítanie skriptov; nahradiť verziovanými artefaktmi s kontrolnými súčtami alebo ich úplne odstrániť.
  3. Ak SlickStack bežal s oprávneniami root na vašich systémoch, zmeňte poverenia a kľúče.
  4. Obnovte postihnuté servery, ak je to možné, aby bol zabezpečený čistý stav.

Bezpečnejšie alternatívy

Zvážte WordOps alebo iné nástroje, ktoré sa vyhýbajú vzdialenému spúšťaniu s právami root a poskytujú auditovateľné, verzované vydania s kontrolnými súčtami/podpismi.

Citácie