国产飞牛系统fnOS疑似出现重大安全漏洞 大量用户数据遭到公开访问

更新1：飞牛官方不再装死 紧急发布v1.1.18版继续修复漏洞 但仍然无法确认安全性

更新2：紧急安全提醒！飞牛OS最新版仍然存在漏洞 请立即断开网络连接

据 V2EX 和飞牛论坛网友发布的帖子，飞牛系统 fnOS 存在重大安全漏洞，多台部署飞牛系统的设备遭到黑客攻击，但目前尚不清楚是否存在数据泄露问题。

如果用户观察到设备是不是卡住、卡死、网络报错等情况就需要去检查，尤其需要设备连接数是否异常或者无法连接飞牛服务器等问题，这可能代表着设备已经遭到黑客攻击。

V2EX 网友在帖子中称，自己已经部署 HTTPS 访问、非弱密码以及采用 2FA 验证的情况下仍然被植入恶意程序，说明这可能并不是用户问题，而是飞牛系统存在某种安全漏洞。

飞牛官方论坛网友发布的讨论贴则指出飞牛系统存在路径穿越漏洞，黑客借助漏洞可以访问整个 NAS 上的文件，包括用户存储和敏感配置文件，飞牛则是在 1.1.15 版中修复漏洞。

比较让人摸不着头脑的是，这么严重的安全漏洞，飞牛官方竟然没有发布任何公告提醒用户，目前所有信息都来自飞牛论坛或者其他网友发布的帖子，没有飞牛官方发布的安全公告。

因此如果你还在使用飞牛旧版本的话那将面临严重的安全风险，飞牛官方或许应当考虑强制推送新版本并自动更新，以及发送短信或邮件通知用户。

另外飞牛官方也应该对中毒的设备进行分析看看到底有哪些文件被黑客窃取，这样可以继续发布安全公告提醒用户潜在的数据泄露事件，现在只是当鸵鸟不发布公告想必是担心影响声誉，但这种行为实际还会损害大家对飞牛系统的信任。

参考信息源：

V2EX：https://www.v2ex.com/t/1189672

fnOS 社区：https://club.fnnas.com/forum.php?mod=viewthread&tid=53230

fnOS 社区：https://club.fnnas.com/forum.php?mod=viewthread&tid=52580

更新：飞牛官方发布回应，但依然没看到任何安全公告，也没解释为什么 HTTP 访问就会被黑客利用。

更新2：5L科技对飞牛官方回应中的说法持怀疑态度，因为也有部署 HTTPS 的用户中招，从流传的消息来看，这是路径穿越漏洞，与 HTTP / HTTPS 访问没有任何直接关系。