SlickStack bezbednosno upozorenje

Ova stranica sažima bezbednosne zabrinutosti u vezi sa SlickStackom i objašnjava zašto njegov podrazumevani dizajn može izložiti servere izvršavanju udaljenog koda i napadima čoveka-u-sredini. Takođe pruža korake za ublažavanje i sigurnije alternative.

Sažetak

  • Česta udaljena preuzimanja zakazana kao root putem cron-a
  • Provera SSL sertifikata se zaobilazi korišćenjem --no-check-certificate
  • Nema kontrolnih suma/potpisa na preuzetim skriptama
  • Root vlasništvo i dozvole primenjene na preuzete skripte

Dokazi: Cron i dozvole

Cron preuzimanja (svakih 3 sata i 47 minuta)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root vlasništvo i restriktivne dozvole (primenjivano više puta)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Ovaj obrazac omogućava proizvoljno izvršavanje koda sa udaljene domene i povećava rizik od MITM napada preskakanjem verifikacije sertifikata.

Pogledajte takođe commit gde su cron URL-ovi prebačeni sa GitHub CDN-a na slick.fyi: diff commita.

Smernice za ublažavanje

  1. Onemogućite SlickStack cron zadatke i uklonite preuzete skripte iz cron direktorijuma.
  2. Revizija radi preostalih referenci na slick.fyi i udaljenih preuzimanja skripti; zameniti verzionisanim, sa kontrolnom sumom verifikovanim artefaktima ili potpuno ukloniti.
  3. Promenite akreditive i ključeve ako je SlickStack bio pokrenut sa root privilegijama na vašim sistemima.
  4. Obnoviti pogođene servere kad je moguće kako bi se obezbedilo čisto stanje.

Sigurnije alternative

Razmotrite WordOps ili druge alate koji izbegavaju udaljeno izvršavanje sa root privilegijama i koji obezbeđuju revizibilna, verzionisana izdanja sa kontrolnim zbirima/potpisima.

Izvori