Loading... # 飞牛OS多个重大漏洞安全事件技术分析 # 一、事件概述 ## 1. 事件背景 2025 年 1 月,飞牛 OS(FnOS)被曝出存在多个严重安全漏洞,导致大量暴露于公网的 NAS 设备遭到攻击。攻击者利用漏洞植入恶意程序,实施挖矿、僵尸网络等恶意活动。 ## 2. 影响范围 ### A. 影响用户数 所有使用飞牛 OS(FnOS)且将设备暴露于公网的用户,具体数量未公开,但多个技术社区报告大量用户受影响。 ### B. 影响时长 漏洞公开时间约为 2025 年 1 月中旬,目前攻击活动仍在持续。 ### C. 影响功能 - 未授权文件访问 - 恶意程序植入 - 系统配置被篡改 - 自动更新机制被破坏 ## 3. 严重程度 **严重(Critical)**——CVSS 评分预计 9.0+,核心原因包括: - 远程未授权访问 - 完整系统控制权 - 攻击成本低且易于自动化 - 持久化机制完善 # 二、漏洞详情 ## 1. CVE-2025-55182:目录遍历漏洞 ### A. 漏洞描述 飞牛 OS 的 app-center-static 组件存在严重的目录遍历漏洞,攻击者可未经授权访问系统任意文件。 ### B. 技术细节 - 漏洞类型:路径穿越(Path Traversal) - 影响组件:app-center-static - 根本原因:开发者在使用 Gin 框架时编写了不安全的文件处理逻辑 - CVE 编号:CVE-2025-55182 ### C. 攻击向量 通过 Web 端口发送特制请求,绕过路径验证机制,实现任意文件读取。 ## 2. 后门植入与持久化机制 ### A. 恶意程序特征 根据社区分析,攻击者植入的恶意程序具有以下特征: | 文件路径 | 说明 | |---------|------| | /sbin/gots | 后门主体程序 | | /etc/rc.local | 启动脚本持久化 | | /etc/rc.d/rc.local | 启动脚本持久化 | | systemd 服务 | 创建系统服务实现自启动 | ### B. 文件保护机制 所有可疑文件均被添加了不可修改属性(immutable flag),即使 root 用户也无法直接删除,需要特殊处理才能清除。 ### C. 攻击能力 - 挖矿木马植入 - 僵尸网络控制 - SSH 密钥窃取 - 横向移动能力 ## 3. 攻击链分析 ```mermaid graph LR A[公网扫描] --> B{漏洞探测} B -->|发现目标| C[目录遍历攻击] C --> D[读取敏感文件] D --> E[窃取凭据] E --> F[植入后门] F --> G[持久化] G --> H[挖矿/僵尸网络] H --> I[阻止自动更新] I --> J[重置防火墙] ```  # 三、问题分析 ## 1. 直接原因 - app-center-static 组件存在未经验证的路径遍历漏洞 - 系统默认暴露于公网,缺乏安全防护 - 内网穿透工具(如 Cloudflare Tunnel)同样可被利用 ## 2. 根本原因(5 Whys 分析) ### A. 为什么出现这个问题? 开发者在实现文件处理功能时,未对用户输入进行充分的路径验证,导致目录遍历攻击。 ### B.为什么没有及时发现问题? 代码 Review 流程可能存在疏漏,未进行安全审计;缺乏自动化安全测试。 ### C. 为什么升级后仍不安全? 攻击者在获取系统控制权后,会: - 阻止系统自动更新 - 重置防火墙规则 - 植入持久化后门 - 即使升级到 1.1.15 版本,已被入侵的设备仍无法完全清除威胁 ### D. 为什么影响范围这么大? 大量用户将 NAS 直接暴露在公网,使用内网穿透工具却未意识到这同样会增加攻击面。 ### E. 为什么攻击如此广泛? 漏洞利用简单,可完全自动化扫描和攻击;多个攻击团伙同时利用该漏洞。 ## 3. 深层反思 - NAS 设备安全性设计不足,默认配置过于开放 - 缺乏入侵检测和应急响应机制 - 用户安全教育不足 # 四、攻击团伙分析 ## 1. 攻击类型 根据搜索结果和行业经验,利用该漏洞的攻击团伙包括: | 攻击类型 | 目的 | 特征 | |---------|------|------| | 挖矿团伙 | 加密货币挖掘 | CPU 占用高、植入 XMRig 等挖矿软件 | | 僵尸网络 | DDoS 攻击服务 | 植入 Lucifer、Kaiji 等僵尸网络木马 | | 勒索软件 | 数据加密勒索 | 加密用户文件、索要赎金 | ## 2. 攻击时间线 ```mermaid sequenceDiagram participant S as 扫描器 participant T as 目标NAS participant A as 攻击者 participant C as C2服务器 S->>T: 端口扫描 S->>T: 漏洞探测 S->>A: 发现漏洞 A->>T: 目录遍历攻击 A->>T: 读取配置文件 A->>T: 植入 gots 后门 A->>T: 设置持久化 T->>C: 连接 C2 服务器 C->>T: 下发挖矿任务 T->>T: 执行挖矿 A->>T: 阻止自动更新 A->>T: 重置防火墙 ```  # 五、解决方案 ## 1. 临时方案(已受入侵设备) ### A. 紧急隔离 - 立即断开网络连接 - 禁用所有公网访问 - 关闭内网穿透工具 ### B. 后门清除 1. 移除文件不可修改属性: ```bash chattr -i /sbin/gots chattr -i /etc/rc.local ``` 2. 删除后门文件: ```bash rm -f /sbin/gots rm -f /etc/rc.local.bak ``` 3. 检查并清理 systemd 服务: ```bash systemctl list-units --type=service | grep -i gots systemctl disable --now <可疑服务名> ``` ### C. 使用官方专杀脚本 飞牛官方论坛提供了 0day 后门专杀脚本,可帮助用户检测和清除后门。 ## 2. 永久方案 ### A. 系统升级 - 升级到 FnOS 1.1.15 或更高版本 - 注意:仅升级无法清除已植入的后门 ### B. 安全加固 - 关闭所有不必要的端口映射 - 使用 VPN(如 Tailscale)进行远程访问 - 启用防火墙并限制仅内网访问 - 修改所有密码(管理界面、SSH) - 定期检查 /var/log/auth.log 日志 ### C. 架构改进 - 将 NAS 部署在隔离网络中 - 使用容器化或虚拟化隔离 - 避免将 NAS 直接暴露在公网 ## 3. 预防措施 ### A. 用户层面 - 非必要不开启公网访问 - 使用零信任网络(如 Tailscale、ZeroTier) - 定期备份重要数据 - 关注官方安全公告 ### B. 厂商层面 - 建立安全开发生命周期(SDL) - 引入自动化安全测试 - 建立漏洞奖励计划 - 加强用户安全教育 # 六、经验总结 ## 1. 事件特点 - 漏洞利用简单,攻击成本低 - 多个攻击团伙同时利用 - 持久化机制完善,清除困难 - 升级无法完全解决已受入侵设备的问题 ## 2. 行业启示 - NAS 设备安全性亟需提升 - 默认安全策略应更加保守 - 需要建立入侵检测机制 - 用户安全教育非常重要 ## 3. 技术教训 - 输入验证是安全的基础 - 深度防御机制必不可少 - 自动化安全测试应成为标配 - 事件响应流程需要完善 *** ## 参考资料 1. [飞牛系统(fnOS)app-center-static 目录遍历导致的任意文件读取](https://mrxn.net/news/fnos-Directory-Traversal-rce.html) - Mrxn's Blog 2. [飞牛OS 疑似0day 漏洞,许多用户设备遭到攻击](https://www.v2ex.com/t/1189672) - V2EX 3. [紧急安全预警 关于飞牛OS (FnOS) 疑似0-day 漏洞](https://www.nodeseek.com/post-602473-1) - NodeSeek 4. [国产飞牛系统fnOS疑似出现重大安全漏洞官方已修复但没有通知用户](https://www.landiannews.com/archives/111674.html) - 陆地科技网 5. [飞牛OS 存在重大安全漏洞, 近期请不要将飞牛实例暴露于公网](https://linux.do/t/topic/1548846) - Linux.do 6. [fnos 恶意程序分析](https://club.fnnas.com/forum.php?mod=viewthread&tid=53230) - 飞牛私有云论坛 7. [飞牛0day后门专杀脚本](https://club.fnnas.com/forum.php?mod=viewthread&tid=53320) - 飞牛私有云论坛 8. [飞牛NAS设置Cloudflare tunnel内网穿透](https://pa.ci/400.html) - 怕刺博客 9. [信息安全领域研究员Lnyas Zhang深度调研报告](https://unifuncs.com/s/i7alarD7) - Unifuncs 10. [飞牛OS安全性的讨论](https://zhuanlan.zhihu.com/p/1951725163117774139) - 知乎 最后修改:2026 年 01 月 31 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏