飛牛官方確認(rèn)重磅漏洞，趕緊升級(jí)你的飛牛NAS系統(tǒng)！

飛牛官方確認(rèn)重磅漏洞，趕緊升級(jí)你的飛牛NAS系統(tǒng)！ 一、飛牛遭遇0DAY漏洞

2月1日，凌晨4點(diǎn)左右，飛牛官方發(fā)布微信公眾號(hào)提示《》，鏈接：

經(jīng)深入分析，此次攻擊行為具有明顯針對(duì) fnOS 的定向?qū)傩裕也捎昧硕嗑S度復(fù)合型攻擊手法。過(guò)去一周，技術(shù)團(tuán)隊(duì)已緊急排查大量異常設(shè)備，持續(xù)追蹤木馬樣本及其變種并展開深度分析。目前，安全團(tuán)隊(duì)已完成對(duì)該攻擊鏈路的逆向工程，并發(fā)布系統(tǒng)安全更新以阻斷此類攻擊行為。

二、漏洞分析

1.1.15版本以下均可能受到影響

影響

攻擊者可利用該漏洞，在無(wú)需任何登錄認(rèn)證的前提下，直接訪問(wèn)飛牛 OS NAS 設(shè)備中的所有文件，既包含用戶的私人文件，也涉及系統(tǒng)敏感配置文件；也就是說(shuō)，只要你的飛牛 OS 設(shè)備開啟了公網(wǎng)訪問(wèn)，攻擊者就能輕易竊取設(shè)備內(nèi)的各類文件。

                                                           /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

可能的rce

星哥自查

不過(guò)VMware虛擬機(jī)里面的飛牛還是1.1.15，作為測(cè)試，暫時(shí)沒(méi)有升級(jí)，看看是否還有漏洞。

可以利用腳本中的邏輯，在內(nèi)網(wǎng)環(huán)境下用瀏覽器或終端快速測(cè)試一下你的 1.1.15 是否已經(jīng)修補(bǔ)了那個(gè)核心漏洞。

在瀏覽器訪問(wèn)：

                                                           http://[你的NAS內(nèi)網(wǎng)IP]:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

訪問(wèn)

                                                           http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

星哥的1.1.15版顯示：

• ? 如果頁(yè)面顯示了 root:x:0:0... 等文字： 說(shuō)明漏洞 依然存在 ，你的版本仍不安全。

• ? 如果顯示 404、403 或報(bào)錯(cuò)： 說(shuō)明該特定路徑已被官方臨時(shí)封堵。

再訪問(wèn)，問(wèn)題就復(fù)現(xiàn)了

                                                           http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

                                                           http://192.168.1.170:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

三、趕緊升級(jí)到最新版

在此之前，星哥就關(guān)注到一些自媒體曝出的漏洞。

嚇得我立馬就升級(jí)到最新版的1.1.18，不過(guò)我日常都是開啟雙重認(rèn)證和防火墻的，不怕賊偷就怕賊惦記，畢竟誰(shuí)都不想自己的私人相冊(cè)共享成公共的吧。

開啟雙重驗(yàn)證：

打開防火墻：

清除腳本 1. 后門清除腳本（針對(duì)已感染設(shè)備）

                                                           # 停止并禁用惡意服務(wù)
systemctl stop SazW nginx dockers trim_pap sync_server
systemctl disable SazW nginx dockers trim_pap sync_server

 # 去除不可修改屬性
chattr -i /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi

 # 強(qiáng)制刪除惡意文件
rm -rf /sbin/gots /usr/bin/dockers /usr/bin/nginx /usr/trim/bin/trim_https_cgi
rm -rf /etc/systemd/system/SazW.service /etc/systemd/system/nginx.service

 # 清理啟動(dòng)項(xiàng)
sed -i '/SazW/d' /etc/rc.local
sed -i '/nginx/d' /etc/rc.local

                                                           # 安裝ClamAV
sudo apt update && sudo apt install clamav clamav-daemon -y

 # 更新病毒庫(kù)
sudo freshclam

 # 掃描系統(tǒng)
sudo clamscan -r / --exclude=/proc --exclude=/sys --exclude=/dev

注意：fnOS 權(quán)限配置復(fù)雜，可能與 ClamAV 產(chǎn)生沖突，建議僅用于應(yīng)急掃描，不啟用實(shí)時(shí)防護(hù)。

四、手動(dòng)安全分析與清理步驟（進(jìn)階）

如果您的系統(tǒng)還沒(méi)推送到 1.1.18

• ? 關(guān)閉外網(wǎng)直連： 暫時(shí)在路由器上關(guān)閉 5666、8000、22 等端口的轉(zhuǎn)發(fā)。

• ? 檢查可疑文件： 重點(diǎn)看一眼 /tmp 目錄下有沒(méi)有名為 turmp 、 bkd 或 gots 的文件。

• ? 修改默認(rèn)端口： 如果必須公網(wǎng)訪問(wèn)，盡量不要使用默認(rèn)的 5666 端口。

檢查項(xiàng)

命令

異常表現(xiàn)

異常進(jìn)程

ps aux

grep -E 'gots‘

SazW

dockers

存在未知高 CPU 占用進(jìn)程

異常服務(wù)

systemctl list-units --type=service --all

grep -E 'SazW’

nginx

存在未安裝的服務(wù)

文件屬性 lsattr /usr/sbin/gots /usr/bin/nginx

顯示 'i' 屬性（不可修改）

網(wǎng)絡(luò)連接

`netstat -tuln

grep -E ':80

:443'`

異常 IP 連接，大量出站請(qǐng)求

2. 深度清理流程（救援模式推薦）

1. 1. 進(jìn)入救援模式 （推薦）

   • ? 通過(guò)服務(wù)商控制臺(tái)啟動(dòng)救援系統(tǒng)

   • ? 掛載原系統(tǒng)磁盤： mkdir /mnt/original && mount /dev/sda1 /mnt/original

2. 2. 清理持久化后門

   • ? 刪除惡意內(nèi)核模塊： rm -rf /lib/modules/*/snd_pcap.ko

   • ? 清理 crontab 任務(wù)： crontab -e 刪除未知條目

   • ? 檢查并修復(fù) SSH 配置： cat /etc/ssh/sshd_config 確保無(wú)異常監(jiān)聽端口

3. 3. 系統(tǒng)加固

   • ? 更改所有用戶密碼，包括 root 和 admin

   • ? 禁用 SSH 密碼登錄，啟用密鑰認(rèn)證

   • ? 限制 SSH 訪問(wèn) IP： echo "AllowUsers admin@192.168.1.*" >> /etc/ssh/sshd_config

先把飛牛 NAS 升級(jí)到最新版本，別等文件真被人偷偷看了才后悔！要是你家 NAS 開了公網(wǎng)訪問(wèn)，記得順便把加密隧道開了、防火墻調(diào)嚴(yán)點(diǎn)，最好再給重要文件做個(gè)備份，雙重保險(xiǎn)才安心。