【漏洞预警】飞牛-私有云fnOS 文件读取漏洞

漏洞名称：飞牛-私有云fnOS文件读取漏洞

风险等级：

高危风险

受影响版本：未知

产品概述：

飞牛-私有云fnOS的应用场景覆盖个人、小型办公、中小企业及特定行业，其中企业

级场景是本次漏洞的核心影响范围，主要包括以下几类：

1.中小企业私有云存储场景：中小企业利用其将闲置设备改造为私有云，存储办公、

财务、客户、合同等核心数据，实现员工多终端协同访问共享，并借助基础功能保障数

据安全。

2.小型办公及创业团队协同场景：创业公司、工作室用其搭建简易协同平台，存储

项目、设计、研发等资料，依托多端同步、免费内网穿透功能，实现异地协同并降低成

本。

3.企业多媒体及数据备份场景：广告、影视、教育等企业用其存储大容量多媒体素

材，同时将其作为辅助备份设备，存储员工数据、服务器日志等，形成基础数据冗余保

护。

4.特定行业轻量化数据管理场景：零售、物流等行业的门店或分支机构，用其搭建

本地存储节点，集中管理销售、单据等数据，方便总部远程查看同步。

此外，该系统也用于个人家庭数据存储、相册备份等场景。相较于个人，企业场景

存储的数据更具高价值、高敏感性，且与业务合规紧密相关，漏洞造成的损失更为严重。

漏洞描述：

飞牛-私有云fnOS近期被曝光路径穿越漏洞，该漏洞源于app-center-static接口（用

于提供应用静态资源），后端处理参数时仅做简单字符串拼接，未校验路径跳转符，攻

击者构造特殊请求即可遍历全目录读取核心配置及用户数据，特定条件下还可演变为远

程命令执行（RCE），实现对设备的完全控制。该漏洞拥有无需认证、无需交互、无明显

异常提示的特征，具备隐蔽性强、破坏力大的漏洞特征。鉴于目前PoC已在互联网公开传

播，并已发现在野利用，建议尽快安排处置。

FOFA自检语句：

app="飞牛-私有云fnOS"

FOFA近一年资产趋势：

FOFA 近一个月资产搜索热力趋势：

修复方案：

在 NAS 设备开放公网访问权限时，优先采用安全访问方式（加密隧道 /2FA 验证 / 开启防火墙等），以进一步降低潜在安全风险。设备被感染特征：- 无法使用官方的更新功能，提示错误或异常- /usr/trim/bin/system_startup.sh 中存在异常的 wget 命令- 近期出现死机、网络连接突然失效、网卡超时等情况- 存在 /usr/sbin/gots 、/usr/trim/bin/trm_https_cgi 等病毒文件若被感染，请断开外部网络，立即检查是否存在可疑进程可参照此链接进行修复：https://club.fnnas.com/forum.php?mod=viewthread&tid=53230

目前官方回应在x86版本的1.1.15版本已修复，请及时更新至最新版本。

我司产品支持情况：

FOEYE：支持该漏洞关联内网资产风险应急响应，直接发现受此漏洞影响的内网资产清单，一键进行专项漏洞风险排查。

FORadar：支持一键关联用户存量资产库，自动匹配受该漏洞影响的互联网暴露风险资产，对风险资产发起专项扫描任务。

Goby：支持针对目标资产进行该漏洞的主动漏洞扫描探测及实战化漏洞验证。

鉴于该漏洞影响范围较大，建议优先处置排查，漏洞实战化EXP效果如下：