2月1日更新:飞牛于今日凌晨4时许发布公告并同时推送了1.1.18版本更新,详情可查看官方通告,请尽快更新至最新版本。
综合多方消息,在过去的24小时之内,飞牛OS被爆出存在两个高危安全漏洞,并且可能还存在潜在的更多高危漏洞。飞牛OS官方建议x86用户将系统升级至1.1.15版本,ARM内测用户使用400以上的版本以缓解已知的攻击问题。但根据社区大量用户反馈,最新版本的飞牛OS似乎并没有成功解决漏洞问题,攻击仍可被复现。建议所有用户立即停止将飞牛OS对外暴露在公网环境下,包括端口直接暴露和反向代理在内的对外开放都可能导致设备被黑客团队利用。如果一定要将系统对公网开放访问,请尽量使用VPN和WAF等手段尽可能降低漏洞被利用的风险。
目前已知存在以下两个严重的 0 day 漏洞:
路径穿越漏洞
PoC:/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
此漏洞有测试称最早可以溯源到 fnOS 0.9.X 版本, 飞牛官方称已经在 1.1.15 版本修复,但似乎仍有用户反馈问题依旧存在。
该漏洞可通过路径穿越实现任意路径访问,经过测试NAS上的所有文件都可以通过此方式绕过鉴权直接访问。社区有用户表示,截止到1月31日晚上,在电报和暗网等渠道已经出现了有黑客团体售卖通过此漏洞窃取到的他人的隐私照片的情况,证明漏洞自大规模披露后正在被黑客利用。WebSocket 接口任意命令执行
PoC:https://www.v2ex.com/member/patrickyoung 此漏洞由 v2ex 用户 patrickyoung 根据飞牛用户 xwmz1369 的反馈贴定位并逆向确定。怀疑是近期大量用户机器被入侵所利用的主要漏洞。此漏洞可通过WebSocket API接口越权进行RCE操作,并且很有可能说明前置还存在一个未知的 authorization bypass 漏洞。此漏洞能够与第一个漏洞形成“组合拳”,并且怀疑已经被黑客团伙利用,目前 1.1.15 版本此漏洞仍未修复。
根据 LoopDNS 频道发布的消息表明,目前已经有 2~3 个黑客团队在感染飞牛 OS 并可能将其纳入到僵尸网络,用于发起 DDoS 攻击等。FOFA网络空间测绘引擎表明,目前全网至少有 80 万台安装 fnOS 的设备在线,这些设备均为潜在的攻击目标。
值得一提的是,飞牛官方对于漏洞的处置态度消极,响应与修复速度缓慢。在用户设备被大量攻击的早期,有用户在社区反馈设备被攻击并可能存在系统漏洞时,飞牛官方将“锅”扣在用户开放了HTTP访问而不是仅HTTPS上,但实际漏洞被披露后证实与HTTP还是HTTPS无关。截止目前,飞牛官方仍未发布公告强制用户升级系统,也没有披露漏洞的细节和修复的细节。
参考文献: