SlickStack Güvenlik Uyarısı

Bu sayfa SlickStack ile ilgili güvenlik endişelerini ve varsayılan tasarımının neden sunucuları uzak kod yürütmeye ve ortadaki adam saldırılarına maruz bırakabileceğini özetler. Ayrıca hafifletme adımları ve daha güvenli alternatifler sağlar.

Özet

  • Cron aracılığıyla root olarak planlanan sık uzak indirmeler
  • SSL doğrulaması --no-check-certificate kullanılarak atlanır
  • İndirilen betiklerde checksum'lar/imzalar yok.
  • Alınan betiklere root sahipliği ve izinler uygulandı.

Kanıt: Cron ve İzinler

Cron indirmeleri (her 3 saat 47 dakikada bir)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root sahipliği ve kısıtlayıcı izinler (tekrarlı olarak uygulandı).

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Bu desen, uzak bir alandan keyfi kod yürütülmesine olanak tanır ve sertifika doğrulamasını atlayarak MITM riskini artırır.

Ayrıca cron URL'lerinin GitHub CDN'den slick.fyi'ye geçirildiği commit'e bakın: commit farkı.

Zararı Azaltma Yönergeleri

  1. SlickStack cron görevlerini devre dışı bırakın ve cron dizinlerinden indirilen betikleri kaldırın.
  2. slick.fyi'ye ve uzak betik çağrılarına yönelik kalıntı referanslar için denetim; sürümlü, checksum'lu artefaktlarla değiştirin veya tamamen kaldırın.
  3. SlickStack sisteminizde root ayrıcalıklarıyla çalıştıysa kimlik bilgilerini ve anahtarları değiştirin.
  4. Temiz bir durum sağlamak için mümkün olduğunda etkilenen sunucuları yeniden kurun.

Daha Güvenli Alternatifler

Uzaktan root yürütmesini önleyen ve sağlama toplamları/ imzalar ile denetlenebilir, sürümlenmiş yayınlar sağlayan WordOps veya benzeri araçları değerlendirin.

Kaynakça