飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

确实有 0day ，一个路径穿越漏洞，社区里面有说。可以访问整个 nas 全部文件，包括用户存储、敏感配置文件，好像 1.1.15 版本修复了。

我去 fofa 随手搜了几个飞牛的系统，测试了一下都是存在漏洞的（就测试了一下，没有做其他任何操作，没有影响他们的系统安全） 我猜这次攻击可能是下载系统内的密钥，然后通过密钥登陆到系统安装恶意软件的

@a9htdkbv #2 应该是的，被入侵后恶意程序会杀掉飞牛的更新进程并修改 DNS ，阻止用户获取更新包。所以如果官方没有发公告，用户很难感知到出了问题。如果不是这一次攻击者导致整个设备出现异常，而是驻留在设备，真的很难被察觉。

还好我都是用 openvpn 回家，然后通过内网地址访问的，暂时没受到影响 经此一劫，我把 FN Connect 都关了，免得通过官方穿透被黑

其实社区 7 天前就有人反馈过这个漏洞，但是官方轻描淡写的一句“感谢，已修复”。这种核弹级的漏洞理应通过各种渠道通知用户的，比如当年的宝塔 888pma 漏洞通过短信群督促用户升级和前阵子的 react 漏洞全部群发邮件警告。隐瞒这种漏洞明显是官方对用户数据安全的不负责任，更何况已经出现了在野利用影响到了大批量用户

@a9htdkbv #4 是的，我非常气愤的一点就在这里。哪怕官方发个邮件，发个公告，主动道歉承认问题，提醒用户及时修复，我甚至都不会发这个帖子。 一个张口闭口说创始团队是 “NAS 超级发烧友”，把 “安全稳定 NAS 系统” 作为公司生存之本的企业最终就干出这挡子事来。看到隔壁有个感谢 FNOS 团队的帖子就感到更讽刺了，熬夜加班帮用户杀毒都不想着发个声明，全部冷处理，直接对这种企业拉黑。

国产爱用多用

@izToDo 捂着捂着这也算是一种特色了。。经历多几个这种事情就惯了。。你就会对中国自主品牌死心了。

btw 自己也是写代码，在这些环境下，绝大多数都是混口饭吃，上面不断搞 KPI ，下面就能跑就行

@a9htdkbv 可以访问整个 nas 全部文件, 这个说法有依据吗? 如果是真的无疑是对飞牛用户信任的毁灭性打击, 各个帖子看的云里雾里, 官方也轻描淡写的把锅甩给用户 http 公网访问被劫持, 如果确实是系统漏洞应该无关 http, 套了 tls 也没意义, 按我目前的理解官方是随手找了个口径背锅, 然后偷偷修复漏洞当作无事发生? 如果真是这样不负责任没有官方通报以后谁还敢用?

@MiKing233 飞牛官方社区里面最近都是一样的问题，目测 0day 应该是跑不掉了。就是具体的漏洞类型我现在没有确认，只是有一些帖子和技术群里面有提到，这块还有待确认。 但是恶意程序确实已经下到设备内，在我的设备中已经验证了。在内核里面加了模块，清掉了日志，对被篡改的文件加了文件保护，到这一步基本已经算沦陷了，数据已经不安全了。

@izToDo 那确实是, 能到这一步基本算是彻底沦陷了, 好在我一开始就不信任它, 作为一台 VM 跑在 PVE 上里面没有存任何数据, 就用飞牛影视和下载挂了几个 BT 种子, 电影资源都是存在 UniFi 的 UNAS 上通过 SMB 只读挂在 fnOS 上, 那些真把飞牛当 NAS 用存个人数据的惨了…官方糊弄事的态度也是, 在另一个帖子上 www.v2ex.com/t/1189392 看到这个我还纳闷这年头怎么还有中间人攻击, 原来是给自身漏洞找个背锅侠…

内核构建源码都没拿出来 gpl 一概不理的东西

@pingdog 非常有同感。

让我想到了十几年前在国内实习，保密局派人来宣讲，被叫去凑数。人家讲的典型问题各个听上去都很低级，但是直到今天偶尔还能听说。

政府领域尚且如此，不要说个人信息的保护了。什么《个人信息保护法》的存在感远不如领导的看法。

同样的事情在欧洲 24 小时之内要报告，要不然罚款全球营业额 30%，公司领导刑事责任还另算。

用户群大了有攻击价值，自然就会有苍蝇找缝。如果注意一下每次群晖的更新公告，会发现也在修复各种 CVE 漏洞。

不要奢望有百分百安全的系统，Windows 和 macOS 的远程桌面敢暴露在公网被打成筛子也只是时间问题。

正确的做法还是用 Tailscale 来加密流量，减少被公网爬虫扫描的风险。