通篇文章依旧嘴硬不谈大面积被挂马的问题,用户都被挂完马了,最后只发了个更新补丁出来。
最搞笑的是,如果你的设备已经感染木马,你是无法更新到最新的 1.1.18 版本的。直到这个公告发出,官方甚至都没给出一个像样的查杀补丁或者工具,目前所有操作都需要用户发挥动手能力,自己找木马或者查杀脚本,直接切割所有被挂马用户。
如果真如官方所说的,在过去一周对木马样本进行了深度分析,解决方案在哪里?
 |
1
eGlhb2Jhb2Jhbw 11 小时 13 分钟前
还没睡啊。已更~
|
 |
2
yinanc 11 小时 3 分钟前
心疼员工
|
 |
3
LnTrx 10 小时 51 分钟前  3
异常访问风险:指所有个人隐私文件、API Key 、私钥都被人看光光
|
 |
4
mercury233 10 小时 2 分钟前 4
部分设备:指至少从 0.9.2 到 1.1.5 前的所有设备。
公网环境下:指公网开端口,或端口转发(包括 fn connect 和无额外认证的自建)。理论上也包括局域网内横向移动。 异常访问、外部异常流量:指直接在浏览器输入你的网址加特定 url 。 稳定性受到影响:指可以列出所有的用户文件和系统文件,并可以下载这些文件。疑似通过获得凭据文件可以登录系统。 可能造成的不便:指数据泄露以及安装木马等。 在追查木马过程中,我们发现:指有用户在飞牛论坛(公开)已经在 2025-12-23 报告过。 自身代码的一些疏漏:指极为简单的路径穿越、遍历文件等疑似多个漏洞。 |
 |
5
MiKing233 9 小时 8 分钟前 2
就官方这种处理重大安全事故的态度这系统后面还有谁敢用, 公告通篇看不出一点对用户数据负责任的态度, 轻飘飘一句公网环境下异常访问风险, 通篇没提漏洞造成的严重后果, 以及自身的 FN Connect 服务同样会导致数据全部泄露, 目前漏洞已被大范围滥用, 官方仍不愿告知用户影响程度和范围, 就这样的公司还所谓把安全稳定的 NAS 系统作为公司"*生存之本*", 所谓创始团队都是"*NAS 发烧友*", 你们的系统自己真的敢用吗?
|
|
6
MiKing233 8 小时 34 分钟前 2
最后给飞牛 fnOS 的厂商"广州铁刃智造技术有限公司"送三面赛博锦旗:
《不遵守安全披露规范的厂商》 《不适合关键数据存储的系统》 《不可信任的基础设施提供方》 |
 |
8
zhenghuaiyu 6 小时 47 分钟前 1
不建议强行带节奏,人家是免费软件,也没强迫你用
没人能做到永远没有 0day ,问题出现是谁都不想的 靠在这键盘批判,还不如有空有精力联系厂家一起分析漏洞 |
 |
9
Otisyang 6 小时 40 分钟前 via Android
重要数据还是别放飞牛了,指不定还有啥没发现的 0day
|
 |
10
A1188 6 小时 40 分钟前 via Android 4
@zhenghuaiyu 免费不是免责条款。
安全漏洞谁都可能遇到,但关键在于厂家的响应态度、修复速度和是否正视问题,而不是用“免费”来转移责任。用户指出问题不是带节奏,而是安全生态的一部分。 |
|
11
zhenghuaiyu 6 小时 38 分钟前
@A1188 你看楼主这态度是指出问题么
|
 |
12
iomect 6 小时 25 分钟前 1
@MiKing233 #5 数据存储出现了数据泄露的情况 这种小厂不敢正面承认的
真承认了赔不起 所以今天早上的更新压根不敢提 虽然他是免费软件 但是提供了内网穿透服务 并且购买了服务的也受到了影响 理论上是要赔付的 所以他们不可能正面承认 |
 |
13
ThisDay 6 小时 14 分钟前
现在那个 websocket 执行任意命令的漏洞,那不是先先拿到 rsa 的 key 么?没懂为啥被算作很危险的漏洞
|
 |
15
kulove 6 小时 11 分钟前 via Android
《多维度复合型攻击手法》
|
 |
16
PrinceofInj 6 小时 1 分钟前 1
@zhenghuaiyu #11 楼主的的态度是飞牛应该正视问题的存在,而不是遮遮掩掩的说有问题,但是不说后果。对于目前的这个漏洞,最严重的就是把个人密码信息放在 NAS 上的会被脱光光,应该提示这些人尽快更改所有密码。有人有些私密照片在上面,那就更是热闹了。至于有没有有人把助记词存在上面……
|
|
17
MiKing233 5 小时 53 分钟前 2
@iomect 坦白讲无论他们是否承认大规模资料泄露已经确认发生, 付费和商用 license 用户肯定是要赔付的这点毋庸置疑如果这都想靠不承认来逃单这家公司没有继续存在下去的必要;
对于免费使用的个人用户, 赔钱肯定是谈不上的, 大家生气的点是官方对此次事件处理的态度, 在去年这个漏洞就已经有人反馈, 如果他们真的在乎安全也不会落到今天这个下场, 他们不是没有机会, 现状完全是这家公司完全不 care 安全所造成的, 讽刺的是他们还一直自诩安全以此为荣, 官网的 slogan:"存数据用飞牛, 高效又*安全*" 并且在事件最终演变为大规模事件后公关也是灾难级别的, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 他们最初竟然用 http 明文访问和中间人攻击来将责任撇到 user 自己身上, 我完全看不出这是一家想要认真做产品公司的态度, 责任和担当 |
 |
20
dianso 4 小时 55 分钟前 1
还是在论坛不承认漏洞,表示是 http 的问题。
|
 |
22
izToDo OP 2
@zhenghuaiyu 从始至终都是网友自发提供木马查杀和解决方案,官方一直是不采纳、不接受的态度,也不承认用户被感染。
并且飞牛并非你说的只是提供免费软件,他们也卖 NAS 整机,也是同样的系统,也同样有人花了钱被感染。 我不是不能接受有未经审计的漏洞,而是官方这个方式就像把用户骗进来杀。我的设备已经被挂马了,结果官方发了个公告和中马的用户完全无关,偏偏这个中马的设备覆盖面还极广,你会怎么思考? |
 |
24
OneLiteCore 3 小时 28 分钟前
商用或者个人用于保管隐私和重要数据的话可能需要谨慎了,如果只是部署在内网然后自己解决内网穿透的话还可以扔在虚拟机跑一下,至于 FN Connect 基本可以告别
|
 |
25
yyuanx 3 小时 28 分钟前 1
飞牛的用户基本盘都是白嫖蝗虫,大部分人只是拿飞牛当玩具,并不是利益相关方,捧飞牛臭脚也算合理(虽然挺恶心)
拿真金白银支持飞牛、把重要数据放在飞牛的核心用户那是真小丑,这么严重的漏洞哪怕你发个预警,有重要数据的用户直接关机都能规避损失,但飞牛官方偏偏要装死,让核心用户的损失最大化... |
 |
26
epson3333 3 小时 22 分钟前 2
@zhenghuaiyu 免费软件就可以对严重安全漏洞含糊其辞?
你家门锁是免费送的,被人一脚踹开了,你还得感谢厂家没收费? 没人要求他们完美,但正视漏洞、说明风险、给出缓解方案是最基本的安全责任,这跟收费与否无关。 键盘批判当然比厂商遮遮掩掩更有用,至少用户能知道自己有没有被脱光。 "没人能做到永远没有 0day",又是这种互联网洗地通用句式,二十分和八十分都不满一百,所以二十分和八十分“天下乌鸦一般黑”?,“哪里都一样”?要不这样吧,你要这么玩,咱们这帖子接下来也别聊飞牛了,把镜头转向其他厂家的漏洞,这样飞牛是不是又好点了? |
 |
27
deepbytes 3 小时 12 分钟前 via iPhone
白裙最近也有一个紧急修复更新,官方邮件通知,还是强制升级的,我一看到邮件就立马升级了,平时是通过 frp 内网穿透+IP 白名单把管理页面放公网:
A new DSM version with critical fixes is now available. Scheduled update installation: 2026-01-31 05:25 If you want to postpone the installation, sign in to DSM and click the postpone link in the desktop notification area. |
 |
28
pingdog 3 小时 3 分钟前 via iPhone
从这个回复的飞牛论坛截图,以及主帖感谢飞牛提到的工作人员处理方式,推测飞牛的员工一直在关注入侵后的行为,而不是入侵的手段
关键的下载恶意脚本的日志,还是用户在飞牛论坛中披露,常规的排查问题都从日志/debug 开始,看见这种日志都未重点关注这个进程的行为并安排紧急补丁 https://v2ex.com/t/1189392?p=1#r_17272286 属于常见的反馈处理方法罢了,例如前几天看到的备案接入问题 /t/1189197 碰到偶发性问题不认真回放,将锅先甩出去,飞牛也不是几个人的开发团队了,你说始终没员工先看出问题吗?不会,只是不主动说罢了 |
 |
29
Tink PRO @zhenghuaiyu 十一月就有人报了,到二月一号才发公告,闹麻了
|
|
30
Tink PRO 就按照这次这个处理情况,保不齐马上会有一大堆黑客团队专门搞飞牛了
|
|
31
Tink PRO 因为就算发现 0day 了几个月没人管,在 0day 市场上绝对能卖个好价格
|
 |
32
wfhtqp 2 小时 27 分钟前 2
有漏洞不可怕,可怕的官方处理问题的态度。路径穿越从 25 年 12 月就爆出来了,当时没有引起任何重视,直到上周才修复。也没有关闭 fn connect ,至今依然可以通过 fn connect 入侵未升级的设备。就这态度以及处理问题的公关方式就有很大的问题。
|
 |
33
mokecc 2 小时 27 分钟前
建设一个在安全行业内比较有战斗力的安全团队,需要什么样的团队架构,每年需要多少钱?他刚起步,不可能有这么多资源投入,玩玩还行,真正用还是群晖等大厂的产品吧,起码出了问题能快速锁定并给出解决方案。
|
 |
34
yGin 2 小时 8 分钟前
一觉醒来,看到飞牛发公告了,但是这个公告真的很想让人说两句,不知道飞牛的公关团队或者技术人员能不能看到这个贴,但社区的声音真的很重要。
昨天我在其他帖子说了希望飞牛能尽快正面、正确的面对,能发重要公告去告知用户去升级,现在飞牛发了,让用户升级,让用户开启更加严格的安全策略。但飞牛公司你们作为一个软件驱动公司还是有好多东西没有正面的面对。 1.已经被挂马的用户: 如何让用户确定自己被挂马、对于被挂马的用户如何去清除木马?升级系统 不等于 清除木马,后面有小白用户升级到 1.1.18 ,但他之前已经被挂,他依旧会去论坛发帖求助,甚至有可能说出“1.1.18 并没有解决我的问题”这种话。 2.公网访问: 请问你这个公网访问包不包括“FN connect”,如果你的公网访问指的是用户的主机有 V4/V6 的公网直接访问,不含你的“FN connect”,那么请问那些没开 V4/V6 公网但是开了 FN connect 的用户怎么办?他们会不会理解成我只开了 FN connect 那公告里提到的安全访问方式与我无关?飞牛厂家明明知道这次 0day 包括 FN connect 也中招了,为何避而不谈?至少今天凌晨我还通过贵厂的 5ddd.com 能发现大量有洞的设备。FN connect 有白嫖用户也有付费用户,这次 0day 中招的用户中,对于没有公网 IP ,但是是 FN connect 的付费用户的怎么去赔付? 有洞正常,有洞不可怕,可怕的是在 1.1.15 的 updatelog 不写修复的洞。可怕的是当技术团本发现问题了虽不能马上修复这个漏洞,但竟然不发叫用户关闭公网、关闭 FN connect 的缓解方案。可怕的是“ 社区热点问题处理进展 20260130”里面没有任何关于 0day 的正面回应。 请做好一个 NAS 该做的事,安全。 |
 |
36
zerovoid 1 小时 50 分钟前 1
不用讨论那么多,一个词来概括飞牛,就是《草台班子》,从老板到技术,到所谓的《公关》,估计就他们现在的营收,我估计压根就没有公关,可能就是程序员让 AI 写个通报发的。
|
|
37
pingdog 1 小时 44 分钟前 via Android
@yGin 看了一些讨论,FN connect 估计也是某种类似 nginx proxy 的做底层,运营方只要在这个 proxy 前加个 WAF 阻止特征流量进入用户侧即可,他不关闭也不加固,令人费解
|
 |
40
gumayusi 1 小时 7 分钟前 1
NAS 敢用 “社区 && 闭源 && 重要数据” 的都是神人
|
 |
41
jiangzm 1 小时 2 分钟前
虽然没在用 fnOS ,最近站内太多飞牛漏洞帖子就关注了下。 看攻击手段和 http 明文/中间人攻击没关系啊,完全是系统本身代码提权漏洞问题。免费不代表不需要正视问题,只有足够正视积极通知用户采取措施能有效降低可能的侵害。
|
 |
43
wangdashuai 27 分钟前
我之前感觉用户使用 fn connect 访问就有风险,用户入口可以暴力枚举测出来。所以之前老早就关闭了,然后使用 ss 访问。
|
 |
44
lswlray 16 分钟前
@epson3333 #24
逻辑上:如果有人送给你免费的门锁,并且强行把你自己的替换掉、给你安上,被人踹开了,他确实要负责;但如果是你自己选择安上了,那他的责任只是说这个锁质量不好、需要改进,至于你自己选择用了导致的损失,是你自己选择的责任。 |
 |
45
NyanMisaka 2 分钟前 via iPhone
魔改开源+闭源软件+免费引流+增值付费+信徒洗地
这几个国产暴雷软件都是这个套路,还没看透那这辈子有了 |
Select Language