请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
时间线:
- 12 月 23 日有用户在论坛上报路径跨越漏洞,官方账号回复让人看下 ( https://club.fnnas.com/forum.php?mod=viewthread&tid=48354&highlight=)
- (飞牛继续保持每周更新,始终没有修复这个高危漏洞)
- 1 月 20 日开始,陆续有用户的设备被入侵
- 1 月 30 日的周版本(v1.1.15)修复了路径跨越漏洞
- 1 月 31 日大量设备病毒发作, 变成 DDoS 肉鸡
- 2 月 1 日发布了带病毒清理的版本(v1.1.18)
看起来飞牛是发现这个漏洞会被黑客利用才需修复的,并且到现在仍未对未升级的版本在 FN connect 中进行保护
 |
1
cloverzrg2 OP  1
 |
 |
2
dushixiang 11 小时 18 分钟前
6
|
 |
3
minami 11 小时 14 分钟前 via Android
那就不得不怀疑到底是后门还是漏洞了😅
|
 |
4
curtinp 11 小时 10 分钟前
哈哈 摔锅 《 HTTP 协议导致的》 才是最骚的
|
 |
5
thevita 11 小时 7 分钟前
很明显:团队没有懂安全的人,也没意识到需要这样一个角色
|
 |
6
wuzhewuyou 11 小时 3 分钟前 via Android
随便写个 web 下载功能,ai 都会提醒这个注意路径跨越漏洞
|
 |
7
wonderfulcxm 10 小时 59 分钟前 via iPhone
口碑遭遇滑铁卢
|
 |
8
lisxour 10 小时 52 分钟前
我们技术是没问题的,那是你们用 http 才导致的!
 |
 |
9
alfawei 10 小时 52 分钟前
@wonderfulcxm 有些狂热粉丝这类的人还是不以为然
|
 |
10
Hephaistos 10 小时 46 分钟前
路径跨越你开网站出现,当地网安都会上面让你整改的
|
 |
11
jjx 10 小时 42 分钟前 1
资源不够/关注度可能更侧重功能
我有一个观点,其实很多公司在初期基本都是如此,内部很乱, 都是一堆问题, 熬过去了,有钱了, 才会慢慢正常 飞牛就是还没过这个阶段,结果问题先暴露而已, 很多都熬过这个阶段, 其实早先也是一堆问题,就是没有爆而已 |
 |
12
a9htdkbv 10 小时 40 分钟前
悲报,飞牛论坛打不开了
|
 |
13
collery 10 小时 37 分钟前
我也发现打不开了
|
|
14
cloverzrg2 OP @jjx #11
但是这种可随意下载设备内任意文件(包括机器私钥/usr/trim/etc/rsa_private_key.pem 、云盘绑定的 secret 、smb 挂载的明文密码、用户的文件等)的安全问题, 完全不能用正常的修复 bug 的态度去排期, 需要立即制定应对措施和修复. 后续造成用户的设备被入侵变成肉鸡, 也是因为下载了机器私钥用它生成 token, 再搭配飞牛的其他的漏洞, 可执行任意的命令, 导致的. 复现代码: https://github.com/bron1e/fnos-rce-chain |
 |
15
unusualcat 9 小时 42 分钟前
@a9htdkbv 福报一波接一波。。。
|
 |
16
coderzgh 8 小时 40 分钟前
论坛还在避重就轻的说用户是 放公网+http 导致的,建议升级 https ,团队一点点安全能力都没有,目录穿越跟 http/https 有毛的关系。。。
|
 |
17
tomatocici2333 8 小时 34 分钟前
 论坛打不开了.. |
 |
18
MiKing233 7 小时 59 分钟前
这个 bug 至少在 0.9.2 上就存在了, 这个 release 是 25 年 6 月的, 也就是说最起码存在半年以上了, 然后最早是去年 12 月有人在公开渠道(飞牛论坛)报告了这个漏洞, 但仍然未能得到重视, 责任在谁认知没问题的都能看清楚
|
 |
19
NonResistance 5 小时 37 分钟前 via iPhone
肥牛显然是破坏了 NAS 玩家的信任
|
Select Language