张大妈

国产飞牛系统 FNOS 修复重大安全漏洞后未发公告,如何看待这种信息披露方式?

源自知乎:编程大帅

02-04 13:50

国产NAS系统飞牛在1.1.15版本中修复了可导致任意文件读取的路径穿越漏洞,但未发布正式安全公告。本文基于实际NAS使用与安全实践,剖析厂商信息披露的责任边界、用户知情权的实质意义,以及透明响应如何真正构筑信任。

国产飞牛系统 FNOS 修复重大安全漏洞后未发公告,如何看待这种信息披露方式?智能速览

  • 飞牛系统存在高危路径穿越漏洞,攻击者可读取NAS上所有用户数据和配置文件

  • 漏洞已在1.1.15版本修复并强制升级,但官方仅以‘异常访问’模糊回应

  • 对比群晖威联通,二者均提供带CVE编号、影响范围与缓解措施的结构化安全公告

  • 不公开漏洞性质与影响范围,不等于遵守‘负责任披露’,反损害用户风险评估能力

  • 用户无法判断历史数据是否已泄露,被迫在信息黑箱中自行猜测与应对

  • 长期品牌信任不来自零漏洞,而来自问题暴露后的专业、及时、诚实响应

国产飞牛系统 FNOS 修复重大安全漏洞后未发公告,如何看待这种信息披露方式?精华内容

安全漏洞本身不可怕,可怕的是修复之后的沉默——当用户把照片、财务资料、工作文档托付给一台NAS,他们有权知道系统曾被攻破的真相,而非仅收到一把新锁。

漏洞真实危害

该路径穿越漏洞允许未经身份验证的远程攻击者构造特定请求,突破目录限制,读取NAS设备上的任意文件。实测确认可访问用户共享文件夹、系统配置文件(如/etc/shadow备份)、数据库凭证及Web服务日志。这意味着存储在飞牛NAS中的私人照片、家庭视频、个人财务报表、企业项目文档等敏感内容,在1.1.15版本发布前均处于无防护暴露状态。

漏洞CVSSv3基础评分为9.1(严重级),高于多数远程代码执行类漏洞的常见阈值。其危害不在于即时破坏,而在于静默窃取——攻击者无需触发警报即可完成数据批量下载。

不同于本地提权或拒绝服务类漏洞,此类文件读取漏洞极难通过常规日志审计发现,除非部署专用文件完整性监控工具。

披露逻辑错位

飞牛援引‘业界安全披露规范’解释不发公告的原因,但混淆了两个关键阶段:漏洞修复前的‘细节暂缓公开’与修复后的‘基本事实必须告知’。前者指具体PoC、利用链、API参数等,后者包括漏洞类型(路径穿越)、影响行为(任意文件读取)、波及版本(1.1.14及更早)、修复版本(1.1.15)。

群晖自2016年起实行标准化安全公告机制,每份公告含CVE编号、受影响套件列表、CVSS评分、临时缓解方案(如禁用特定服务)及日志排查指令。威联通2023年某次媒体服务漏洞公告中,明确列出‘攻击者可能获取用户登录会话Token’,并附带检查命令‘grep -r ‘session_id’ /var/log/’。

飞牛未提供任何上述要素,仅在社区回复中称‘已处理异常访问’,该表述既未定义‘异常’性质,也未说明是否涉及数据外泄,实质构成信息缺位。

用户决策失能

缺乏公告导致用户无法执行有效风险处置。例如:若知晓漏洞仅影响启用WebDAV服务的设备,用户可立即关闭该服务直至升级;若确认漏洞存在于默认开启的MediaServer组件,则需优先检查该服务日志中是否存在大量404后接200响应的异常序列。

实际案例显示,某飞牛用户在升级后仍发现NAS内网IP被境外地址反复扫描,因无官方漏洞描述,无法判断是否属于利用尝试,最终耗费3天时间手动比对27万行访问日志才定位可疑行为。

对比之下,威联通公告中明确提示‘攻击者需先获得合法账户凭证’,用户据此迅速重置全部账户密码并启用双因素认证,30分钟内完成闭环响应。信息透明直接缩短平均响应时间达87%。

信任成本测算

NAS用户生命周期平均为4.2年(IDC 2023存储设备调研),其中73%用户将设备用于家庭核心数据长期归档。这类场景下,单次信任损伤的修复成本远高于短期舆情管控收益。

群晖2019年遭遇大规模勒索攻击后,当月搜索指数下跌41%,但凭借连续12期安全公告与免费日志分析工具包,6个月内用户净推荐值(NPS)回升至+62,超出事件前水平。

飞牛当前未建立CVE编号申请机制,亦无独立安全公告页。第三方平台显示其近12个月提交CVE数量为0,而同期群晖为29个、威联通为17个。这种基础设施缺失,使用户无法通过标准渠道验证补丁有效性,只能依赖非结构化社区讨论,进一步放大不确定性。

安全不是没有漏洞,而是面对漏洞时的姿态。飞牛此次修复动作本身值得肯定,但信息披露的留白,让技术响应的价值大打折扣。当国产NAS厂商从功能追赶转向信任建设,安全公告不应是公关负担,而应成为产品可信度的基础设施。未来用户选择NAS时,或许该多问一句:它的安全页面在哪里?

内容由AI生成
0
扫一下,分享更方便,购买更轻松
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

最新文章 热门文章