SlickStack säkerhetsvarning

Denna sida sammanfattar säkerhetsproblem med SlickStack och varför dess standarddesign kan utsätta servrar för fjärrkörning av kod och man‑i‑mitten‑attacker. Den ger även åtgärdssteg och säkrare alternativ.

Sammanfattning

  • Frekventa fjärrnedladdningar schemalagda som root via cron
  • SSL-verifiering kringgås med --no-check-certificate
  • Inga checksummor/signaturer på nedladdade skript
  • Root-ägarskap och behörigheter tillämpade på hämtade skript

Bevis: Cron och behörigheter

Cron-nedladdningar (var 3:e timme och 47 minuter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-ägarskap och restriktiva behörigheter (tillämpade upprepade gånger)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Detta mönster möjliggör godtycklig exekvering av kod från en extern domän och ökar MITM‑risken genom att hoppa över certifikatverifiering.

Se även committen där cron-URL:er byttes från GitHub CDN till slick.fyi: commit-diff.

Åtgärdsrekommendationer

  1. Inaktivera SlickStack-cronjobb och ta bort hämtade skript från cron-kataloger.
  2. Granskning efter kvarvarande referenser till slick.fyi och fjärrhämtning av skript; ersätt med versionerade artefakter med checksummor eller ta bort helt.
  3. Byt ut autentiseringsuppgifter och nycklar om SlickStack kördes med root‑privilegier på dina system.
  4. Återuppbygg de berörda servrarna när det är möjligt för att säkerställa ett rent tillstånd.

Säkrare alternativ

Överväg WordOps eller andra verktyg som undviker fjärrkörning som root och erbjuder granskbara, versionshanterade releaser med checksummor/signaturer.

Källhänvisningar