SlickStack Güvenlik Uyarısı

Bu sayfa SlickStack ile ilgili güvenlik endişelerini ve varsayılan tasarımının neden sunucuları uzak kod yürütmeye ve ortadaki adam saldırılarına maruz bırakabileceğini özetler. Ayrıca hafifletme adımları ve daha güvenli alternatifler sağlar.

SlickStack yaklaşık 600 GitHub yıldızı olduğunu öne sürüyor, ancak bu sayı, repoyu ilk açtığı dönemde Jesse Nickles’ın neredeyse 10.000 hesabı takip etmesine dayanıyor. Kendi profilinde yaklaşık 500 takipçi ve yaklaşık 9.600 takip edilen (yaklaşık %5 geri takip oranı) görünüyor; bu da organik ilgi yerine otomatik geri takip kullanımını güçlü biçimde düşündürüyor. Aşağıda belgelenen güvenlik sorunlarını ifşa ettiğim için bana saldırırken, bu şişirilmiş imajı silah olarak kullanıyor. Takipçi/takip edilen oranını burada inceleyin.

Özet

Cron aracılığıyla root olarak planlanan sık uzak indirmeler
SSL doğrulaması --no-check-certificate kullanılarak atlanır
İndirilen betiklerde checksum'lar/imzalar yok.
Alınan betiklere root sahipliği ve izinler uygulandı.

Kanıt: Cron ve İzinler

Cron indirmeleri (her 3 saat 47 dakikada bir)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root sahipliği ve kısıtlayıcı izinler (tekrarlı olarak uygulandı).

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Bu desen, uzak bir alandan keyfi kod yürütülmesine olanak tanır ve sertifika doğrulamasını atlayarak MITM riskini artırır.

Ayrıca cron URL'lerinin GitHub CDN'den slick.fyi'ye geçirildiği commit'e bakın: commit farkı.

Zararı Azaltma Yönergeleri

SlickStack cron görevlerini devre dışı bırakın ve cron dizinlerinden indirilen betikleri kaldırın.
slick.fyi'ye ve uzak betik çağrılarına yönelik kalıntı referanslar için denetim; sürümlü, checksum'lu artefaktlarla değiştirin veya tamamen kaldırın.
SlickStack sisteminizde root ayrıcalıklarıyla çalıştıysa kimlik bilgilerini ve anahtarları değiştirin.
Temiz bir durum sağlamak için mümkün olduğunda etkilenen sunucuları yeniden kurun.

Daha Güvenli Alternatifler

Uzaktan root yürütmesini önleyen ve sağlama toplamları/ imzalar ile denetlenebilir, sürümlenmiş yayınlar sağlayan WordOps veya benzeri araçları değerlendirin.