本内容来源于@什么值得买APP,观点仅代表作者本人 |作者:期望氢气球
这两天,我不得不做出了一个艰难的决定:物理拔网线。
代价是惨痛的:家里的 Home Assistant 失联,智能灯具成了摆设,精心搭建的影视墙推倒重来,网盘服务退化成局域网文件传输。大家常调侃的 All in One, All in Boom,此刻具象化为了我面前这台沉默的黑色机箱。
这次飞牛OS爆出的漏洞比想象中更凶险。如果你还心存侥幸,觉得这只是又一次普通的密码爆破,那你就大错特错了。
根据目前深挖出的细节:
首先是任意路径访问漏洞。这并非飞牛独创的 bug,而是源于其使用的 Gin 框架(v1.10.1)中一个早已被披露的陈年老洞(涉及 PRISMA-2022-0393 等上游 Issue)。 黑客根本不需要知道你的账号密码,甚至不需要登录。只要构造一条包含 ../../../../ 的特殊 URL 请求(比如针对 /app-center-static/ 路径),就能像幽灵一样穿透防线,直接读取系统核心文件。这个漏洞最早甚至可以追溯到 0.9.X 版本,这意味着很多人的设备可能已经裸奔了很久。
如果说路径遍历只是偷窥,那么WebSocket 接口漏洞就是入室抢劫。 通过逆向分析发现,攻击者利用此漏洞可以直接在系统内执行任意命令。这解释了为什么近期会有如此大规模的用户中招这根本不是在试探你的密码强度,而是直接通过后门接管了系统的控制权。
如果是普通的木马,我或许会尝试杀毒、清理进程。但这次,很多被入侵的实例,其自动更新功能被攻击者人为阻断了。 这就形成了一个死局:官方发布了补丁,但你的机器因为已经被黑客接管,根本收不到、装不上这个补丁。你以为岁月静好,其实你的 NAS 早就成了别人的肉鸡。
首先飞牛OS是闭源的。作为用户,我们看不到它的源代码。当攻击者利用 0day 漏洞提权进入系统后,他们究竟修改了哪一行系统底层代码?植入了什么持久化的后门?在一个闭源系统中,我们就像是在黑夜里抓鬼,永远无法确定是否已经清理干净。
其次飞牛OS的防火墙实现是基于 eBPF 技术的。 在正常情况下,eBPF 是高性能的神器。但在设备已经沦陷的情况下,它可能成为最大的隐患:普通防火墙我们可以通过命令清晰地看到每一条出入站规则。
eBPF 防火墙运行在更底层的内核态。这就好比在你的监控摄像头画面传输给显示器之前,已经被截获并篡改了。 作为普通用户,面对闭源的 eBPF ,我们没有手段去检测是否存在看不见的默认出站规则。 即使系统已经被控制成为了肉鸡,在后台疯狂对外发包攻击别人,然而网络监控工具里根本看不见这些流量。
面对一个可能已经被底层提权且流量监控可能失效的黑盒系统,任何软件层面的补救都显得苍白无力。 为了防止我的 NAS 变成攻击他人的武器,也为了保护内网其他设备的安全,我只能选择最原始、最笨拙但最有效的手段:拔掉网线。
不要相信你的直觉,也不要过度迷信你的日志。
无论你认为自己是否中招,无论系统目前的运行状态看起来多么正常,只要你的飞牛OS曾经在开启公网访问的情况下运行过,我都强烈建议你:不要仅仅依赖升级补丁,请直接重装系统。
你现在看到的岁月静好,极有可能是攻击者想让你看到的假象。升级只能堵住大门的洞,却赶不走已经藏在屋子暗格里的人。
数据无价,信任无价。为了彻底斩断所有可能的隐患,请备份好数据盘中的核心资料,格式化系统盘,在一个绝对干净的环境下重生。
这确实很麻烦,甚至很痛苦,但这是唯一能让你在半夜睡得着觉、不再担心自家设备肉鸡的唯一方法。
