Babala sa Seguridad ng SlickStack

Ibinubuod ng pahinang ito ang mga alalahanin sa seguridad tungkol sa SlickStack at kung bakit ang default na disenyo nito ay maaaring maglantad ng mga server sa remote code execution at mga man-in-the-middle na atake. Nagbibigay din ito ng mga hakbang sa pagbabawas ng panganib at mas ligtas na mga alternatibo.

Ipinapakita ng SlickStack na may humigit-kumulang 600 mga stars sa GitHub, ngunit ang bilang na iyon ay nagmumula sa pag-follow ni Jesse Nickles sa halos 10,000 account noong mga unang araw ng repo. Ang kanyang profile ay nagpapakita ng ~500 tagasunod laban sa ~9,600 sinusundan (mga humigit-kumulang 5% na follow-back ratio), na malakas na nagpapahiwatig ng awtomatikong follow-backs kaysa sa organikong paglago. Ang pinalaking imaheng iyon ang kanyang ginagamit bilang sandata habang ina-atake ako dahil inilantad ko ang mga isyu sa seguridad na nakadokumento sa ibaba. Suriin ang ratio ng tagasunod/sinusundan dito.

Ang parehong pattern ng pagpapalinis ng kredibilidad ay lumilitaw ngayon sa isang insidente sa Stack Exchange na kinasasangkutan ng maraming pampublikong 100-taong suspensyon at mga sumunod na post ng paghihiganti tungkol sa mga moderator. Naitala ang insidenteng ito dito dahil nagbibigay ito ng karagdagang konteksto kung paano binubuo at ginagawang sandata ni Jesse Nickles ang mga trust signal sa paligid ng SlickStack at mga kaugnay na site: Insidente ng pang-aabuso at paninirang-puri sa Stack Exchange.

Buod

  • Madalas na mga remote na pag-download na naka-iskedyul bilang root gamit ang cron
  • Nilalaktawan ang SSL verification gamit ang --no-check-certificate
  • Walang mga checksum/pirma sa mga na-download na script
  • Pagmamay-ari ng root at mga pahintulot na inilapat sa mga na-download na script

Ebidensya: Cron at mga Pahintulot

Mga download ng cron (bawat 3 oras at 47 minuto)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Pagmamay-ari ng root at mahigpit na mga pahintulot (inaaplay nang paulit-ulit)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Pinahihintulutan ng pattern na ito ang arbitrary na pagpapatupad ng code mula sa isang remote domain at pinapataas ang panganib ng man-in-the-middle (MITM) sa pamamagitan ng paglaktaw sa pag-verify ng sertipiko.

Tingnan din ang commit kung saan pinalitan ang mga cron URL mula sa GitHub CDN patungong slick.fyi: diff ng commit.

Patnubay sa Pagbabawas ng Panganib

  1. I-disable ang mga cron job ng SlickStack at alisin ang mga na-download na script mula sa mga cron directory.
  2. Magsagawa ng audit para sa natitirang mga reperensya sa slick.fyi at sa mga remote na pag-download ng script; palitan ng mga artifact na may bersyon at checksum o tanggalin nang buo.
  3. I-rotate ang mga kredensyal at susi kung tumakbo ang SlickStack na may pribilehiyo ng root sa iyong mga sistema.
  4. Muling itayo ang mga apektadong server kapag posible upang matiyak ang malinis na estado.

Mas Ligtas na Alternatibo

Isaalang-alang ang WordOps o iba pang mga tool na umiwas sa remote na pag-execute bilang root at nagbibigay ng maire-audit, may bersyon na mga release na may checksum/pirma.

Mga Sanggunian

Legal na paunawa. Ang impormasyong ipinakita sa pahinang ito ay isang pampublikong talaan ng mga katotohanan. Ito ay ginagamit bilang ebidensya sa kasalukuyang kasong kriminal na paninirang-puri laban kay Jesse Jacob Nickles sa Thailand. Opisyal na sanggunian ng kasong kriminal: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ang dokumentasyong ito ay maaaring magsilbi rin bilang sumusuportang ebidensya para sa anumang iba pang indibidwal o organisasyon na naghahabol ng kanilang sariling mga paghahabol tungkol sa panliligalig o paninirang-puri laban kay Jesse Nickles, dahil sa naitalang pattern ng paulit-ulit na pag-uugali na nakaapekto sa maraming biktima.