في الآونة الأخيرة، أفاد العديد من مستخدمي المجتمع مثل V2EX أن،يحتوي Feiniu fnOS على ثغرة أمنية كبيرة تسمح بالوصول إلى أي ملف على NAS من خلال اجتياز المسار، بما في ذلك تكوين النظام وملفات تخزين المستخدم.



في وقت مبكر من هذا الصباح، أصدر Feiniu fnOS رسميًا إشعارًا مهمًا بالتحديث الأمني، قائلًا إنه خلال عملية الفحص الأمني الأخيرة وتحليل تعليقات المستخدمين، اكتشف فريق Feiniu الفني أن بعض الأجهزة بها مخاطر وصول غير طبيعية في بيئة الشبكة العامة.
عندما يوفر الجهاز المتأثر خدمات الشبكة، قد يتأثر استقرار النظام وبعض التطبيقات بسبب حركة المرور الخارجية غير الطبيعية.
ردا على هذا التصرف غير الطبيعيقام المسؤول بدفع التحديث الأمني للإصدار 1.1.15 في أقرب وقت ممكن وأصدر إشعار ترقية لجميع المستخدمين لمنع السلوكيات غير الطبيعية.

وبعد التحليل المتعمق الذي أجراه Feiniu، يتمتع هذا الهجوم بسمات اتجاهية واضحة تستهدف fnOS ويستخدم تقنية هجوم مركب متعدد الأبعاد.
وفي الأسبوع الماضي، قام الفريق الفني بالتحقيق بشكل عاجل في عدد كبير من الأجهزة غير الطبيعية، واستمر في تتبع عينات طروادة ومتغيراتها، وأجرى تحليلًا متعمقًا.
وفي الوقت الحالي، أكمل الفريق الأمني الهندسة العكسية لرابط الهجوم وأصدر تحديثات أمنية للنظام لمنع مثل هذه الهجمات.
اقترح فينيو،عندما يفتح جهاز NAS إمكانية الوصول إلى الشبكة العامة، قم بإعطاء الأولوية لطرق الوصول الآمنة (النفق المشفر/التحقق 2FA/تشغيل جدار الحماية، وما إلى ذلك) لتقليل المخاطر الأمنية المحتملة بشكل أكبر.
ردًا على هذا الإعلان، أشار بعض مستخدمي Feiniu NAS إلى أنه في مواجهة تسرب خصوصية المستخدم بسبب نقاط الضعف، اختار Feiniu عدم إعطاء تحذير مبكر، ولكن متأخرًا "تجنب المهم واتخاذ السهل" واستخدام كلمات غامضة مثل "الوصول غير الطبيعي" للتغطية على الحقائق. يرجى عدم استخدام أسلوب "التستر" هذا لاستهلاك ثقة المستخدمين.
وفي هذا الصدد، قال فينيو إن عملية الكشف العادية عن الثغرات الأمنية تتطلب الكشف عنها بعد إصلاح الثغرة الأمنية. وفي الأسبوع الماضي، تم الاتصال بالمستخدمين غير الطبيعيين وعكس عملية التسلل. ولا يمكن الكشف عنها حتى يتم إصلاحها بالكامل.
وقال Feiniu إنه لا يمكن الكشف عن تفاصيل الثغرة الأمنية مباشرة، وإلا سيكون هناك خطر أكبر لاستغلالها من قبل الأشخاص الخبيثين.

تشير البيانات إلى أن Feiniu fnOS هو نظام تشغيل NAS محلي مجاني يعتمد على التطوير المتعمق لنواة Debian Linux. يمكن للمستخدمين الفرديين تحويل أجهزة NAS أو أجهزة الكمبيوتر الشخصية الخاملة إلى وحدة تخزين سحابية خاصة.