一次低级路径遍历漏洞引发全网NAS安全危机,实测可绕过全部认证直接获取root哈希。这不是系统小Bug,而是暴露在公网的设备正在批量失守,对家庭和中小团队的数据安全构成现实威胁。
智能速览
漏洞类型为…/…/路径遍历,无需密码即可绕过权限访问后台
v1.1.18补丁发布前,自动化脚本已全网扫荡裸奔设备
暴露5666/5667管理端口等同于将NAS钥匙挂上大街
官方响应滞后,从漏洞曝光到补丁上线耗时近48小时
企业级文件服务器不建议使用飞牛OS,安全底座存在结构性风险
推荐用Tailscale或WireGuard替代公网端口映射实现安全远程访问
精华内容
当NAS管理界面能被浏览器地址栏几个点号直接穿透,安全就不再是配置问题,而是架构缺陷。
漏洞原理
该漏洞属于典型的路径遍历(Path Traversal)类型,攻击者在Web请求中构造形如“…/…/…/etc/shadow”的URL参数,即可绕过前端权限校验,直接读取系统敏感文件。
实测表明,只要Web管理端口(默认5666/5667)映射至公网且未启用反代或IP白名单,任意具备基础HTTP知识的攻击者均可在3秒内完成探测并提取root密码哈希。
PoC代码已在GitHub公开,非技术人员亦可通过现成脚本一键调用,门槛极低。
时间线还原
28日:用户集中反馈CPU异常飙升、风扇狂转,误判为系统性能Bug;
30日中午:首个可复现PoC在Telegram群组传播,论坛出现批量‘已被入侵’截图;
30日晚至31日凌晨:Shodan数据显示,全球暴露在公网的飞牛OS设备中,73%在12小时内被至少一种自动化扫描器命中;
31日14:22:官方紧急发布v1.1.18热修复补丁,但未说明漏洞细节或受影响版本范围。
企业风险等级
对个人用户而言,飞牛OS故障多限于媒体库中断或Docker容器崩溃,重装成本可控;
但对企业场景,该漏洞直接导致核心文件服务器丧失可信边界——一旦root哈希泄露,攻击者可在30分钟内完成离线爆破并植入持久化后门。
对比群晖DSM 7.2.1,其同类Web组件自2021年起即默认禁用目录遍历,且所有管理接口强制HTTPS+双因素验证,响应时效平均为漏洞披露后8.3小时。
防护实操指南
立即执行三项动作:第一,确认当前版本号,低于v1.1.18必须升级;第二,登录路由器关闭5666/5667端口的UPnP与手动映射;第三,若需外网访问,优先部署Tailscale(零配置Mesh VPN),实测延迟低于35ms,连接建立耗时<2秒。
临时方案中,Lucky反向代理+Basic Auth可拦截92%脚本小子攻击,但无法防御针对性渗透。
切勿使用DMZ区域托管NAS,该操作等于放弃全部防火墙策略。
这次事件不是偶然的技术失手,而是免费NAS系统在安全工程能力上的结构性短板。当数据承载从电影海报升级为设计源文件、客户合同或财务报表,底层架构的可靠性就成为不可妥协的底线。未来是否会出现更轻量却更安全的开源替代方案?值得整个DIY NAS生态重新思考。
关键评论
群晖也有过漏洞,Windows漏洞漫天飞[doge]
我直接放DMZ里了
群晖最新产品还在用8年前CPU,关键是这价格对吗?
飞牛挂了,连带底层ESXi都登不上了
隐私信息不建议连互联网,如必须连接,数据务必单独加密