2 月 1 日消息,日前,V2EX 等多个社区用户反馈称,飞牛 fnOS 出现重大安全漏洞,可通过路径穿越访问 NAS 上任意文件,包括系统配置和用户存储文件。飞牛 fnOS 官方发布重要安全更新通知,称飞牛技术团队近日在安全巡检与用户反馈分析过程中,发现部分设备在公网环境下,存在异常访问风险。受影响设备在提供网络服务的过程中,可能因外部异常流量导致系统及部分应用稳定性受到影响。
针对该异常行为,官方已第一时间推送 1.1.15 版本安全更新,并向全体用户发出了升级通知,阻断异常行为。经飞牛深入分析,此次攻击行为具有明显针对 fnOS 的定向属性,且采用了多维度复合型攻击手法。过去一周,技术团队已紧急排查大量异常设备,持续追踪木马样本及其变种并展开深度分析。目前,安全团队已完成对该攻击链路的逆向工程,并发布系统安全更新以阻断此类攻击行为。飞牛建议,在 NAS 设备开放公网访问权限时,优先采用安全访问方式(加密隧道/2FA 验证/开启防火墙等),以进一步降低潜在安全风险。
对于该公告,有飞牛 NAS 用户指出,面对由于漏洞导致的用户隐私泄露,飞牛选择的不是第一时间预警,而是迟到的“避重就轻”用“异常访问”这种模糊的词汇来掩盖事实,请不要用这种“捂盖子”的方式来消耗用户的信任。对此,飞牛表示,安全漏洞正常的披露流程是需要在漏洞修复后进行披露,过去一周一直在联系异常用户,同时逆向入侵过程,直到彻底修复之后,才能披露。飞牛称,漏洞的细节不能直接公布,否则被有心人利用会有更高的风险。资料显示,飞牛 fnOS 是一款基于 Debian Linux 内核深度开发的国产免费 NAS 操作系统,个人用户能将闲置的 NAS 或 PC 设备转化为私有云存储。(快科技)
