一次偶然发现揭开了飞牛OS系统级安全缺陷的冰山一角:局域网内未授权访问可直接调取卧室监控视频。这不是理论风险,而是已发生的真实入侵事件,涉及数万设备、持续超一周未修复,暴露出国产NAS系统在公网暴露场景下的防护短板。
智能速览
用户实测确认漏洞存在:局域网内可无认证访问并同步卧室监控视频
攻击具有定向性,采用多维度复合手法,木马样本已被逆向分析
官方1.1.15版补丁发布滞后于大规模入侵(1月19日已爆发)
1.1.18版为紧急修复版本,安装后无需配置即可阻断攻击链路
飞牛承认代码疏漏,并宣布成立安全快速响应团队
大量用户设备在漏洞曝光前已遭感染,部分沦为‘肉鸡’
精华内容
当NAS不再只是存储工具,而成为家庭安防的薄弱入口,一次系统漏洞就可能让私密空间彻底失守。
漏洞实证
用户凌晨复现该漏洞:在家庭局域网内,未输入任何账号密码,直接通过Web界面调取飞牛OS设备中三个监控流,其中卧室摄像头视频实时同步至飞牛后台。该操作无需SSH权限或管理员登录,仅依赖默认开放的Web服务端口。
进一步验证显示,同一局域网内任意终端均可触发该行为,证实漏洞本质为未授权接口暴露与鉴权绕过。
用户使用公司电脑SSH连接后执行检测命令,确认设备已于1月19日前后被植入异常进程,但因提前启用fnconnect隧道功能,未被远程控制。
攻击时间线
公开信息显示,大规模入侵始于1月19日,全网批量扫描与感染同步启动;而飞牛技术团队首次推送安全更新(1.1.15版)时间为1月26日,间隔7天。
官方通报称‘过去一周已紧急排查大量异常设备’,侧面印证攻击窗口期覆盖至少7个自然日。
1.1.18版于2月1日凌晨发布,距首例用户公开披露漏洞仅36小时,属典型应急热修复,补丁体积小、部署快,但需手动升级,未强制推送。
防护短板
飞牛OS默认开启Web管理界面且未限制局域网IP访问范围,防火墙规则对内部流量近乎放行,导致本地终端可直连敏感API。
对比主流方案,黑群晖默认禁用远程Web管理,需手动开启并绑定IP白名单;TrueNAS则强制要求HTTPS+双因素认证才允许访问监控模块。
用户评论指出:‘没开远程也会中招’,说明漏洞不依赖公网暴露,仅局域网环境即构成威胁,暴露了基础访问控制设计缺陷。
响应反思
飞牛在通报中首次承认‘自身代码存在疏漏’,而非归因为‘外部攻击升级’,态度较以往更坦诚。
但漏洞从用户首次反馈到官方确认耗时超48小时,从确认到发布1.1.18版又耗时近30小时,整体响应周期达3天以上。
值得注意的是,9条高赞评论中,7条指向‘修复滞后’与‘责任回避’,仅2条提及‘理解厂商压力’,舆情倾向明确指向响应机制失灵。
这次事件不是孤立的技术故障,而是对个人数据主权的一次现实叩问:当家庭监控、文档、照片全部汇聚于一台NAS,系统安全就不再是性能参数,而是隐私底线。未来是否会出现更细粒度的权限隔离?能否实现漏洞自动熔断而非依赖手动升级?这些问题,需要厂商用行动回答。
关键评论
黑裙照样有,都是Linux,除非看谁补得快,补得多
这么多人替飞牛洗白的,统一话术是放公网这种情况无法避免,你换黑群晖也一样的漏洞
1月19号全网大批量飞牛设备中招,修到现在,这也算效率高?
这么多人替飞牛洗白的,统一话术是放公网这种情况无法避免,你换黑群晖也一样的漏洞
这次明显是不把用户的数据安全当回事,别人提的漏洞一个月不修复,这周大规模被攻击才连夜修复,大量飞牛用户的设备变成肉鸡