张大妈

飞牛OS这下可把我吓坏了,裸奔了都

源自小红薯:姜18

02-02 15:02

一次偶然发现揭开了飞牛OS系统级安全缺陷的冰山一角:局域网内未授权访问可直接调取卧室监控视频。这不是理论风险,而是已发生的真实入侵事件,涉及数万设备、持续超一周未修复,暴露出国产NAS系统在公网暴露场景下的防护短板。

飞牛OS这下可把我吓坏了,裸奔了都智能速览

  • 用户实测确认漏洞存在:局域网内可无认证访问并同步卧室监控视频

  • 攻击具有定向性,采用多维度复合手法,木马样本已被逆向分析

  • 官方1.1.15版补丁发布滞后于大规模入侵(1月19日已爆发)

  • 1.1.18版为紧急修复版本,安装后无需配置即可阻断攻击链路

  • 飞牛承认代码疏漏,并宣布成立安全快速响应团队

  • 大量用户设备在漏洞曝光前已遭感染,部分沦为‘肉鸡’

飞牛OS这下可把我吓坏了,裸奔了都精华内容

当NAS不再只是存储工具,而成为家庭安防的薄弱入口,一次系统漏洞就可能让私密空间彻底失守。

漏洞实证

用户凌晨复现该漏洞:在家庭局域网内,未输入任何账号密码,直接通过Web界面调取飞牛OS设备中三个监控流,其中卧室摄像头视频实时同步至飞牛后台。该操作无需SSH权限或管理员登录,仅依赖默认开放的Web服务端口。

进一步验证显示,同一局域网内任意终端均可触发该行为,证实漏洞本质为未授权接口暴露与鉴权绕过。

用户使用公司电脑SSH连接后执行检测命令,确认设备已于1月19日前后被植入异常进程,但因提前启用fnconnect隧道功能,未被远程控制。

攻击时间线

公开信息显示,大规模入侵始于1月19日,全网批量扫描与感染同步启动;而飞牛技术团队首次推送安全更新(1.1.15版)时间为1月26日,间隔7天。

官方通报称‘过去一周已紧急排查大量异常设备’,侧面印证攻击窗口期覆盖至少7个自然日。

1.1.18版于2月1日凌晨发布,距首例用户公开披露漏洞仅36小时,属典型应急热修复,补丁体积小、部署快,但需手动升级,未强制推送。

防护短板

飞牛OS默认开启Web管理界面且未限制局域网IP访问范围,防火墙规则对内部流量近乎放行,导致本地终端可直连敏感API。

对比主流方案,黑群晖默认禁用远程Web管理,需手动开启并绑定IP白名单;TrueNAS则强制要求HTTPS+双因素认证才允许访问监控模块。

用户评论指出:‘没开远程也会中招’,说明漏洞不依赖公网暴露,仅局域网环境即构成威胁,暴露了基础访问控制设计缺陷。

响应反思

飞牛在通报中首次承认‘自身代码存在疏漏’,而非归因为‘外部攻击升级’,态度较以往更坦诚。

但漏洞从用户首次反馈到官方确认耗时超48小时,从确认到发布1.1.18版又耗时近30小时,整体响应周期达3天以上。

值得注意的是,9条高赞评论中,7条指向‘修复滞后’与‘责任回避’,仅2条提及‘理解厂商压力’,舆情倾向明确指向响应机制失灵。

这次事件不是孤立的技术故障,而是对个人数据主权的一次现实叩问:当家庭监控、文档、照片全部汇聚于一台NAS,系统安全就不再是性能参数,而是隐私底线。未来是否会出现更细粒度的权限隔离?能否实现漏洞自动熔断而非依赖手动升级?这些问题,需要厂商用行动回答。

飞牛OS这下可把我吓坏了,裸奔了都关键评论

  • 黑裙照样有,都是Linux,除非看谁补得快,补得多

  • 这么多人替飞牛洗白的,统一话术是放公网这种情况无法避免,你换黑群晖也一样的漏洞

  • 1月19号全网大批量飞牛设备中招,修到现在,这也算效率高?

  • 这么多人替飞牛洗白的,统一话术是放公网这种情况无法避免,你换黑群晖也一样的漏洞

  • 这次明显是不把用户的数据安全当回事,别人提的漏洞一个月不修复,这周大规模被攻击才连夜修复,大量飞牛用户的设备变成肉鸡

内容由AI生成
0
扫一下,分享更方便,购买更轻松
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

最新文章 热门文章