CyberQ 賽博客
沒有結果
觀看所有搜尋結果
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊
聯繫我們
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊
沒有結果
觀看所有搜尋結果
CyberQ 賽博客
沒有結果
觀看所有搜尋結果
  • 首頁
  • 新聞
  • AI 人工智慧
  • 資安
  • Docker
  • 進階應用
  • 網通
  • NAS
  • 開箱測試
  • 教學
  • 展覽直擊
首頁 新聞

飛牛私有雲 fnOS NAS 爆發史詩級災情!用戶檔案裸奔一年半,社群怒火與駭客肆虐觀察

Walter Black by Walter Black
2026 年 02 月 11 日 12:30
in 新聞, 資安
閱讀時間: 3 分鐘
A A
飛牛私有雲 fnOS NAS 爆發史詩級災情!用戶檔案裸奔一年半,社群怒火與駭客肆虐觀察
6k
觀看數
分享到臉書分享到 X分享到Line分享到 Threads分享到 Linkedin

最近,中國市場的在地品牌 NAS 系統「飛牛私有雲 (fnOS)」爆發了嚴重的資安災情,震撼了資訊與 NAS 社群。根據知名硬體頻道 EPCDIY (邊亮) 的分析影片,以及觀察 V2EX 等社群的災情回報,這次事件並非單純的 Bug,而是一場讓用戶隱私裸奔長達 500 多天的重大資訊安全事故。

RELATED POSTS

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

如果你是飛牛 fnOS 的用戶,請務必閱讀本文並採取對應行動。

史詩級漏洞究竟發生了什麼事?

簡單來說,飛牛 fnOS 被發現存在一個極其低級但破壞力極強的路徑穿越 (Path Traversal) 漏洞。

漏洞影響範圍: 從 0.8.16 (2024/9/5) 到 1.1.14 (2026/1/24) 版本。

持續時間: 長達 506 天(約一年半)。

後果影響是這樣的,攻擊者不需要任何帳號密碼,只要你在瀏覽器輸入特定網址,就能直接以最高權限 (Root) 查看、下載你 NAS 裡的所有檔案(包括照片、文件、系統密碼檔 /etc/passwd 等)。

受害規模有多少呢 ? 根據掃描統計,截至 2026 年 2 月初,網路上仍有超過 19 萬 個飛牛 NAS IP 暴露在公網,隨時可被看光光。

為什麼會這樣呢?

根據 EPCDIY 的逆向工程分析,問題出在一個名為 tamsappcenter 的系統程序。

Root 權限濫用: 這個程序本身就以 Root(最高管理員)權限運行,這違反了最小權限原則。

低級代碼錯誤: 系統在處理應用程式圖示 (Icon) 的 API 請求時,使用了 C 語言的 sprintf 函數來拼接路徑,卻完全沒有驗證輸入內容。

路徑穿越: 駭客只需在請求中加入 ../../../../ 這樣的字符,就能跳出原本的圖示資料夾,直接穿越到系統根目錄 (/),進而訪問任何檔案。

駭客測試與用戶怒火的社群災情

隨著漏洞被公開,甚至在公開前已被黑色產業利用,社群傳出了不少災情。駭客們陸續透過工具掃描和找到可攻擊的受害者植入木馬,許多用戶發現系統被植入了惡意程式(如 /sbin/gots),甚至被安裝了挖礦軟體或作為殭屍網路 (Botnet) 的節點。

而頑固病毒是不好處理的環節,駭客利用 chattr +i 指令鎖定惡意檔案,讓一般用戶即使發現也無法刪除。更有甚者植入了惡意核心模組 (snd_pcap.ko),讓病毒寄生在系統核心中。

同時呢,為了掩蓋行蹤,駭客往往會清空系統日誌,讓受害者難以追查。

官方回應引發公關危機

飛牛官方雖然在 2026 年 1 月底釋出了 1.1.15 版本修復漏洞,並在後續的 1.1.18 版本加入查殺工具,但其處理態度引發了社群的強烈不滿。

首先的問題是避重就輕,官方最初的公告僅稱發現異常訪問風險,但並未明確告知是任意檔案讀取的超級漏洞,被部分用戶指責。

另外就是延遲預警受到爭議,畢竟在業界,資訊大廠通常把漏洞修復後才發公告是業界常態,但如果是面對已經被大規模利用的災情,社群認為官方應更早發出高強度的紅色警報。

你該怎麼辦?緊急自救指南

如果你的飛牛 NAS 曾經或正在暴露於公網(開啟了端口轉發 Port Forwarding),請務必執行以下步驟:

第一步:立刻更新

確保你的 fnOS 版本至少升級到 1.1.15 以上,建議升級到最新的 1.1.19 或更新的版本。

第二步:檢查是否「中招」

即使更新了,之前的感染可能還在。請檢查:

是否有不明的 CPU 高佔用進程?

系統日誌是否莫名其妙被清空?

使用官方最新版提供的安全掃描工具進行全系統的掃描。

CyberQ 建議最保險的做法,是先備份資料,這邊要留意的是請只要備份資料,不備份設定檔,然後格式化系統碟重灌系統。另外,後續還要再掃描過你備份的這些資料當中是否還有疑危檔案。

第三步:最重要的是改變使用習慣

CyberQ 以輔導許多資安系統的經驗為例,最重要的是改變你的使用習慣,而基本的核心觀念就是要「零信任」 (Zero Trust)。請絕對絕對不要將任何 NAS 的管理介面(如飛牛的 5666)或任何服務連接埠直接透過你的路由器映射(Port Forwarding)到公開網路去。如果你要這樣開,那在防火牆端就要設定限制的IP才可以連線進來,這是多一層保險。

CyberQ 也建議你如果在外面要使用 NAS 資源,可以改用 VPN。若需從外網連接你的 NAS,請在路由器或內網其他設備建構 WireGuard、OpenVPN 或 Tailscale 等 VPN 服務,先連上 VPN 回家,再以內網 IP 訪問 NAS。

或者是,你也可以建構一台遠端連線用的跳板機,限定這個跳板機的 IP 才可以連到你的 NAS。

最後就是建議關閉 IPv4 連接埠暴露在外,如果技術能力許可也能採用 IPv6 配合防火牆,或僅允許特定 IP 連線是相對比較保險的了。

新興系統的代價與要留意中國軟體生態

飛牛 fnOS 在中國市場熱門是透過 UI 和易用性,但安全性與系統穩定性並不是很靠譜,這次事件暴露了新興團隊在資安底蘊上的不足,讓核心業務進程以 Root 裸奔,這在成熟的系統(如 TureNAS、QNAP QTS、QuTS hero 或 Synology DSM)中是極力避免的架構缺陷。

類似的災情是一個慘痛的教訓,也就是方便往往伴隨著風險。對於存放重要資料的 NAS 、企業儲存設備,資安永遠是第一考量。在飛牛徹底重構其權限管理機制之前,建議各位玩家將其視為「玩具」或「影音伺服器」,切勿重要的資料(如公司備份、私密照片)在無防護狀態下託付給它。

首圖由 Nano Banana AI 生成

提升 NAS 勒索軟體防護:多層次資安佈局
QNAP NAS 與 ISO 27001 合規基礎核心概念
電腦與 NAS 的密碼應該怎樣設置比較好 ?
為何我家的 NAS 會被當成駭客的目標?
NAS SSD 選購與設定指南:快取 vs Qtier 分層儲存的取捨
斷電是 SSD 與硬碟殺手!電腦、NAS 與機房的 UPS 選購指南
資料護城河的終極防線,ZFS NAS 與儲存設備選購指南
該幫 NAS 裝 SSD 固態硬碟嗎?
NAS 進階效能最佳化概要
NAS 效能瓶頸分析:如何選擇適合的硬體升級或換購?
標籤: fnOSNAS飛牛飛牛私有雲
Share72Tweet45ShareShareShare13
上一篇

KB5077181 更新釋出,Windows 11跨裝置接續功能升級、開始功能表新介面與 AI 模型整合

下一篇

資安院示警 Synology 舊漏洞遭鎖定攻擊、新 Telnet 漏洞又現蹤,用戶須立即更新系統

Walter Black

Walter Black

具備多年專案管理、資訊架構、VM環境、雲服務、中大型資訊機房建置經驗,ISO 27001:2022 LA。

相關文章

新聞

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

2026 年 7 月 1 日
母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗
新聞

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

2026 年 6 月 30 日
新聞

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

2026 年 6 月 30 日
福特重聘資深工程師修正 AI 缺陷想挽回汽車品質
AI 人工智慧

福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

2026 年 6 月 30 日
新聞

Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

2026 年 6 月 30 日
Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖
AI 人工智慧

Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖

2026 年 6 月 29 日
下一篇
資安院示警 Synology 舊漏洞遭鎖定攻擊、新 Telnet 漏洞又現蹤,用戶須立即更新系統

資安院示警 Synology 舊漏洞遭鎖定攻擊、新 Telnet 漏洞又現蹤,用戶須立即更新系統

Linux 6.19 正式發布:邁向 7.0 新時代,四大檔案系統關鍵變革探究

Linux 6.19 正式發布:邁向 7.0 新時代,四大檔案系統關鍵變革探究

迪士尼版權戰開打 Google AI 工具全面封殺米老鼠相關生成指令

迪士尼版權戰開打 Google AI 工具全面封殺米老鼠相關生成指令

推薦閱讀

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

2026 年 7 月 1 日
母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

2026 年 6 月 30 日

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

2026 年 6 月 30 日
福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

2026 年 6 月 30 日

Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

2026 年 6 月 30 日

近期熱門

  • 美國政府同意重新開放 Anthropic 新模型部署於關鍵基礎設施,三大 AI 大廠次世代模型管制與延期內幕

    美國政府同意重新開放 Anthropic 新模型部署於關鍵基礎設施,三大 AI 大廠次世代模型管制與延期內幕

    231 shares
    Share 92 Tweet 58
  • 全球記憶體海嘯與硬體通膨:從蘋果全面漲價透視半導體產能結構性失衡

    210 shares
    Share 84 Tweet 53
  • 僅 7% 美國人依賴 AI 讀新聞!民調揭露青壯年族群反而更不信任 AI 報導

    181 shares
    Share 72 Tweet 45
  • 部署 Hermes Agent 實戰,24 小時不間斷的地端自動化 AI 助理

    162 shares
    Share 65 Tweet 41
  • AI 原被預測消滅工程職位,新資料卻顯示工程師職位反而更穩固|產業精選 06.25

    155 shares
    Share 62 Tweet 39
  • Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖

    150 shares
    Share 60 Tweet 38
  • 母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

    144 shares
    Share 58 Tweet 36
  • OpenAI 同意美政府要求延後發布 GPT-5.6,Corgi 否認竊取開源產品|產業精選 06.27

    135 shares
    Share 54 Tweet 34
  • 100GbE NFS over RDMA 實戰,直連 DGX Spark 執行 DS4 大型模型突破 AI 推理儲存瓶頸

    132 shares
    Share 53 Tweet 33
  • Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

    119 shares
    Share 48 Tweet 30

關於 CyberQ 賽博客

CyberQ 賽博客網站的命名正是 Cyber + Q ,是賽博網路、資訊、共識 / 高可用叢集、量子科技與品質的綜合體。

我們專注於企業級網路與儲存環境建構、NAS 系統整合、資安解決方案與 AI 應用顧問服務。透過以下三大面向的「Q」核心元素,我們為您提供從基礎架構到資料智慧的雙引擎驅動力:

Quorum 與 Quantum-safe

在技術架構上,是基於信任的基礎架構,CyberQ 深入掌握分散式系統中的 Quorum(一致性)、Queue(任務調度) 與 QoS(服務品質),以 Quick(效率) 解決複雜的 IT 與資安問題。同時,我們積極投入 Quantum-safe(後量子密碼學) 等新興資安領域,確保企業基礎設施在未來運算時代具備堅不可摧的長期競爭力。

Query 與 Quotient

CyberQ 是協助企業成長的 AI 引擎,在堅韌的架構之上,我們透過 Query(洞察) 解析大量資料,並以 Quotient(提升企業科技智商) 的顧問服務,將 AI 導入本機端環境與自動化工作流程中,將資料轉化為企業最具價值的數位資產。

Quest與 Quantum Leap

專業媒體與技術顧問是我們的核心雙動能。

作為科技媒體,我們秉持駭客精神持續進行科技 Quest(探索),探索海內外產業動態。

作為顧問團隊,我們結合多年第一線實務經驗,提供量身打造的最佳化解決方案,協助企業完成數位轉型的 Quantum Leap(躍進)。

新聞稿、採訪、授權、內容投訴、行銷合作、投稿刊登:[email protected]
廣告委刊、展覽會議、系統整合、資安顧問、業務提攜:[email protected]

Copyright ©2026 CyberQ.tw All Rights Reserved.

沒有結果
觀看所有搜尋結果
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊

© 2025 CyberQ NAS、資安、資訊科技、AI應用的日常 關於 CyberQ 賽博客 NAS 系統與電腦、手機一起的生活故事 多年的系統整合與資訊安全經驗,協助智慧家居、小型工作室、辦公室與機構,導入更便利、更安全的資訊環境與應用。