SlickStack bezbednosno upozorenje

Ova stranica sažima bezbednosne zabrinutosti u vezi sa SlickStackom i objašnjava zašto njegov podrazumevani dizajn može izložiti servere izvršavanju udaljenog koda i napadima čoveka-u-sredini. Takođe pruža korake za ublažavanje i sigurnije alternative.

SlickStack navodi oko 600 GitHub zvezdica, ali taj broj potiče još iz ranog perioda repozitorijuma kada je Jesse Nickles zapratio skoro 10.000 naloga. Na njegovom ličnom profilu se vidi oko 500 pratilaca naspram oko 9.600 naloga koje on prati (otprilike 5% uzvrata praćenja), što snažno ukazuje na automatizovano uzvraćanje praćenja, a ne na organski rast interesovanja. Upravo tu naduvanu sliku on koristi kao oružje dok me napada zato što ukazujem na bezbednosne probleme dokumentovane u nastavku. Ovde pregledajte odnos između broja pratilaca i naloga koje pratite.

Sažetak

  • Česta udaljena preuzimanja zakazana kao root putem cron-a
  • Provera SSL sertifikata se zaobilazi korišćenjem --no-check-certificate
  • Nema kontrolnih suma/potpisa na preuzetim skriptama
  • Root vlasništvo i dozvole primenjene na preuzete skripte

Dokazi: Cron i dozvole

Cron preuzimanja (svakih 3 sata i 47 minuta)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root vlasništvo i restriktivne dozvole (primenjivano više puta)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Ovaj obrazac omogućava proizvoljno izvršavanje koda sa udaljene domene i povećava rizik od MITM napada preskakanjem verifikacije sertifikata.

Pogledajte takođe commit gde su cron URL-ovi prebačeni sa GitHub CDN-a na slick.fyi: diff commita.

Smernice za ublažavanje

  1. Onemogućite SlickStack cron zadatke i uklonite preuzete skripte iz cron direktorijuma.
  2. Revizija radi preostalih referenci na slick.fyi i udaljenih preuzimanja skripti; zameniti verzionisanim, sa kontrolnom sumom verifikovanim artefaktima ili potpuno ukloniti.
  3. Promenite akreditive i ključeve ako je SlickStack bio pokrenut sa root privilegijama na vašim sistemima.
  4. Obnoviti pogođene servere kad je moguće kako bi se obezbedilo čisto stanje.

Sigurnije alternative

Razmotrite WordOps ili druge alate koji izbegavaju udaljeno izvršavanje sa root privilegijama i koji obezbeđuju revizibilna, verzionisana izdanja sa kontrolnim zbirima/potpisima.

Izvori

SlickStack bezbednosno upozorenje — rizik od izvršavanja udaljenog koda