(2026-02-01)
核心结论:本次为无需认证路径遍历→RCE的高危0day,已在野批量利用;官方已推1.1.15/1.1.18补丁,仅升级不够,需彻底清后门。
一、基础信息
- 漏洞名称:app-center-static 路径遍历0day
- 披露时间:2026-01-31 社区曝光,2026-02-01 官方推送补丁
- 影响系统:飞牛NAS fnOS(基于Debian Linux)
- 危害等级:Critical 最高危
- CVE编号:暂未分配
- 利用条件:无需登录、无需交互,公网暴露80/443即可批量扫描利用
二、漏洞原理与入口
- 漏洞入口:
/app-center-static/serviceicon/myapp/{0}?size=../../../../
- 成因:后端对 size 参数未做路径规范化与过滤,可传入 ../ 及URL编码变体实现目录穿越,突破静态资源目录限制访问系统根目录任意文件
- 权限风险:Web服务以高权限运行,可读取 /etc/passwd / /etc/shadow 、配置密钥、用户存储,在可写目录写入脚本并触发,最终形成未授权远程命令执行(RCE)
- 典型Payload:
curl http://[NAS-IP]/app-center-static/serviceicon/myapp/test?size=../../../../etc/passwd
三、受影响版本
- 明确受影响:fnOS 1.1.8及更早版本、1.1.15之前所有版本
- 官方修复版:fnOS 1.1.15(首版补丁)、fnOS 1.1.18(迭代加固版)
- 补充风险:1.1.15-1493被反馈仍存在WebSocket命令注入(需登录,存在疑似认证绕过),接口为
appcgi.dockermgr.systemMirrorAdd
四、在野利用与攻击表现
- 攻击特征:批量扫描公网设备→秒级入侵→植入持久化后门→沦为僵尸节点,发起DDoS、内网扫描、数据窃取
- 入侵痕迹:
- 篡改启动脚本: /usr/trim/bin/system_startup.sh 注入远程下载执行代码
- 持久化:在 /usr/lib/systemd/system/ 注册伪装服务,设 immutable(i) 防删,开机自启
- 网络异常:连接数突增至20万+、全网掉线、DHCP失效、路由CPU打满、ARP广播风暴
- 恶意文示例例:
/tmp/turmp
/sbin/gots
/usr/bin/dockers
等伪装名二进制与脚本
五、官方响应与修复
- 2026-02-01凌晨:全量推送fnOS 1.1.15安全更新,启动强制升级引导,封堵路径遍历入口
- 溯源:过去7天完成攻击链路逆向、样本与变种分析,更新阻断攻击链
- 披露说明:暂不公开完整利用细节,避免恶意扩散,遵循“修复后披露”流程
- 后续迭代:推送1.1.18增强版,补充检测与防护机制
六、风险与危害
- 数据层面:全盘文件泄露(系统配置、用户隐私、凭证明文/密文)
- 控制层面:整机被接管,植入持久化后门,重启不清除
- 网络层面:变为内网攻击源,拖垮局域网,成为DDoS肉鸡与横向渗透跳板
- 防护失效:启用HTTPS/强密码/2FA均无法抵御,属系统底层漏洞
七、应急处置与清理(关键)
- 紧急断网:关闭公网端口转发、DDNS、飞牛Connect,仅限内网访问,阻断扫描与C2通信
- 版本升级:内网环境升级至1.1.15及以上,优先1.1.18
- 后门清理(必做,仅升级不清除后门):
1. 停止并禁用异常服务:
systemctl stop SazW nginx dockers trim_pap sync_server && systemctl disable ...
2. 移除不可修改属性:
chattr -i /sbin/gots /usr/bin/dockers ...
3. 删除恶意文件并重载systemd:
rm -rf ... && systemctl daemon-reload
4. 检查crontab、启动脚本、systemd服务,清除异常项
- 安全加固:公网访问改用VPN/加密隧道,启用防火墙与白名单,定期巡检进程、外连、计划任务、自启服务
八、信息来源与说明
- 来源:V2EX、NGA、CSDN安全复盘、中关村在线、太平洋科技等社区与媒体,2026-01-31至02-01集中披露
- 状态:已在野利用、官方已修复、后门需手动清理、无公开CVE、利用细节未完全公开
评论