fnOS高危漏洞紧急修复指南：立即升级至1.1.18版本

事态紧急：你的NAS可能正在被远程扫描

如果你正在使用飞牛fnOS系统，并且设备可以公网访问，那么现在就是停止阅读、立即行动的时刻。

2026年2月1日，飞牛官方终于打破沉默，发布了《重要安全更新通知》，确认fnOS系统遭遇定向攻击，并紧急推送1.1.18版本进行修复。但更令人担忧的是，社区反馈显示，大量用户在发现问题前，设备就已经被悄悄植入了后门程序。

这不是危言耸听。攻击者正在自动化扫描暴露在互联网上的fnOS设备，利用系统漏洞进行批量入侵。你的NAS里那些照片、文档、工作资料，此刻可能已经不再安全。

漏洞真相：一个让所有文件裸奔的路径穿越漏洞

根据社区技术分析和官方通报，这次危机的核心是一个典型的路径穿越漏洞。

漏洞本质：攻击者无需任何登录凭证，就能通过构造特定HTTP请求，直接访问系统任意文件。

具体来说，fnOS的app-center-static接口存在参数过滤缺失，攻击者可以使用如下请求遍历系统目录：

/app-center-static/serviceicon/myapp/{0}?size=../../../../

这意味着什么？攻击者可以读取：

• /etc/passwd 和 /etc/shadow（系统用户和密码哈希）
• 数据库配置文件（包含数据库访问凭证）
• 用户存储的所有文件（你的照片、文档、备份）
• SSH密钥（实现持久化后门）

更致命的是，这个漏洞不需要认证、不需要交互，完全可以被自动化工具批量利用。攻击者可以在互联网上扫描开放的5666端口，一旦命中漏洞，秒级就能植入恶意程序。

比数据泄露更可怕：你的NAS可能已经成为攻击者的"肉鸡"

很多用户认为，"我没有什么重要数据，被访问也没关系"。这种想法是错误的，因为比数据泄露更严重的是，你的设备可能已经被变成攻击者的工具。

根据受害用户反馈，被入侵的NAS会出现以下异常行为：

• 路由器连接数飙升至20万级：家用路由器正常连接数只有几千，当NAS被植入恶意代理程序后，会在后台建立大量对外连接
• 局域网设备频繁掉线：NAT表被占满，新连接无法建立
• 设备异常卡顿：CPU被挖矿或转发流量占用

攻击链路非常完整：

1. 通过路径穿越漏洞获取系统控制权
2. 修改系统启动脚本，如/usr/trim/bin/system_startup.sh
3. 下载并执行恶意二进制程序（如/tmp/turmp）
4. 通过systemd服务实现开机自启和持久化
5. 设备被纳入僵尸网络，用于DDoS攻击或流量转发

最糟糕的是，即使你升级到最新版本，已经植入的后门程序仍然可能存在。单纯升级系统，可能只是暂时清除了漏洞入口，但设备里的"定时炸弹"依然在滴答作响。

官方1.1.18版本更新：修复了什么？

飞牛官方在2026年2月1日凌晨4点31分正式发布安全更新通告，要求用户尽快升级至1.1.18版本。根据官方更新日志，1.1.18版本主要包括以下安全修复：

安全更新：

• 提升应用中心与Docker管理服务接口安全性
• 修复引发设备异常网络请求的安全漏洞
• 新增病毒库特征扫描功能，增强系统自动化查杀能力

远程访问修复：

• 修复关闭了WebDAV服务后仍然可以中继转发服务的问题
• 修复花生壳删除DDNS的问题

需要特别注意的是，官方承认在追查木马过程中"发现了自身代码的一些疏漏"，并宣布成立安全快速响应团队。这说明1.1.18可能不是最终版本，后续可能还会有更多安全修复推送。

立即行动：三步安全升级指南

第一步：切断公网访问（立即执行）

在开始升级前，先切断所有外部访问，防止攻击者在升级过程中继续利用漏洞：

1. 登录路由器后台，删除所有端口转发规则（特别是5666、5667端口）
2. 暂停DDNS服务，确保域名无法解析到你的公网IP
3. 关闭fnOS远程访问功能，包括飞牛Connect服务
4. 确认NAS仅能通过内网访问

第二步：内网环境升级系统

1. 确保设备仅连接到内网
2. 登录fnOS管理界面
3. 进入"系统设置" → "设备信息" → "更新系统"
4. 升级至1.1.18最新版本
5. 升级过程中切勿关闭设备或断电

第三步：排查是否已被入侵（重要）

升级完成后，执行以下检查，确认设备是否已植入恶意程序：

1. 检查异常计划任务

crontab -l

2. 查找可疑进程

ps aux | grep -E "(wget|curl|nc|socat|perl|python|turmp|gots)"

3. 检查异常网络连接

netstat -antp | grep EST

4. 检查关键启动文件是否被修改

cat /usr/trim/bin/system_startup.sh

如果发现异常内容，特别是包含wget、curl等远程下载命令的行，说明设备已经被入侵。

已被入侵的处理方案：

1. 立即断网隔离设备
2. 备份重要数据（注意备份前进行病毒扫描）
3. 重装系统（不要尝试手动清理，后门可能非常隐蔽）
4. 恢复数据时严格检查，避免恢复后门程序

长期安全防护：避免再次成为攻击目标

升级到1.1.18只是第一步，建立长期的安全防护体系更重要：

网络层隔离

• 绝对避免将管理界面直接暴露到公网
• 必须远程访问时，优先使用VPN（如WireGuard、OpenVPN）
• 使用反向代理（如Nginx）进行访问控制
• 配置防火墙IP白名单，只允许可信IP访问

访问控制加固

• 启用HTTPS，配置有效的SSL证书
• 设置强密码（至少12位，包含大小写字母、数字、特殊字符）
• 开启双因素认证（2FA）
• 禁用HTTP明文访问

系统监控与审计

• 定期检查系统日志：cat /var/log/syslog | grep -i "error"
• 部署日志监控和告警机制
• 定期检查异常进程和网络连接
• 安装入侵检测系统（IDS）

备份策略

遵循3-2-1备份原则：

• 至少3份数据副本
• 使用2种不同的存储介质
• 至少1份异地备份

官方安全响应机制的反思

这次事件暴露出飞牛官方在安全响应机制上的不足：

1. 漏洞修复在先，安全公告在后：1.1.15版本在1月中旬就已推送修复，但直到2月1日才发布正式安全通告
2. 用户通知机制缺失：没有通过短信、邮件等方式主动通知用户，很多用户依赖论坛讨论才知道风险
3. 信息披露不透明：未及时公布漏洞细节、影响范围、是否有数据泄露等信息

官方在通告中承认"代码疏漏"并承诺成立安全快速响应团队，这算是一个积极的信号。但用户需要的是更主动、更透明的安全沟通机制。

给不同类型用户的具体建议

家庭NAS用户

• 优先采用物理隔离，确保NAS仅在内网使用
• 避免使用弱穿透工具直接暴露管理界面
• 定期检查设备运行状态，注意异常卡顿、网络断线等问题

VPS/云服务器用户

• 风险等级极高，建议立即进入救援模式
• 挂载原系统盘进行离线备份和全量重装
• 部署Web应用防火墙（WAF）和入侵检测系统

小型企业用户

• NAS通常存储重要业务数据，安全风险更高
• 建议聘请专业安全团队进行渗透测试
• 建立完整的备份和灾难恢复方案

写在最后：安全没有侥幸，只有防护

这次fnOS高危漏洞事件给所有NAS用户敲响了警钟。私有云存储不是"绝对安全"，相反，由于缺乏企业级的安全防护，个人用户往往更容易成为攻击目标。

不要等待事情发生后才重视安全。

现在就检查你的fnOS版本，升级到1.1.18，切断公网访问，建立完整的安全防护体系。几分钟的操作，可能避免的是数据泄露、设备被黑、甚至网络瘫痪的重大损失。

记住：安全升级不是一次性任务，而是需要持续维护和关注的过程。关注飞牛官方公告，及时安装安全更新，定期检查系统状态，才能让你的NAS真正成为可靠的数据堡垒。

紧急联系方式：

• 官方安全漏洞反馈：https://trim-nas.feishu.cn/share/base/form/shrcnYhRB4ryb9K8Te9GEgeRYYe
• 安全问题联系邮箱：safety@fnnas.com