飞牛OS多个重大漏洞已被多团伙广泛利用,升级到最新版本无法确保安全
本次针对 fnOS 的漏洞利用活动呈现多团伙、多基础设施特征:疑似存在 2–3 个利用团伙,攻击流程较为成熟,并观察到多个 C2(命令与控制)域名用于回连与任务下发。当前已明确捕捉到 DDoS 攻击指令,被入侵设备存在被纳入僵尸网络风险。根据网络空间测绘(网站空间)统计,全网可直接访问并暴露 fnOS Web 页面设备约 306,766 台。最早入侵记录可追溯到12天前(1月21日)。
现在可验证的国内流量已经到达了1TB。
研究发现了更多可被犯罪组织利用的飞牛OS重大漏洞:包括一个路径遍历漏洞、一个websocket鉴权漏洞。
当前用户最可靠的安全措施之一是立即物理切断Web 管理面板与公网的访问连接。“升级到新版本”并不等于风险解除。目前无法确认新版本已覆盖全部修复点,仅依赖升级不能作为安全保证;在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。
已被感染的用户应立即关闭公网访问,撤销端口映射/公网反代/暴露端口;仅允许内网访问,或使用 VPN/零信任网关进入内网后访问管理面;在网关处限制来源 IP(最小化暴露面)。之后在断网环境下清除与排查。
—— DNSPODT (含处置详情)
本次针对 fnOS 的漏洞利用活动呈现多团伙、多基础设施特征:疑似存在 2–3 个利用团伙,攻击流程较为成熟,并观察到多个 C2(命令与控制)域名用于回连与任务下发。当前已明确捕捉到 DDoS 攻击指令,被入侵设备存在被纳入僵尸网络风险。根据网络空间测绘(网站空间)统计,全网可直接访问并暴露 fnOS Web 页面设备约 306,766 台。最早入侵记录可追溯到12天前(1月21日)。
现在可验证的国内流量已经到达了1TB。
研究发现了更多可被犯罪组织利用的飞牛OS重大漏洞:包括一个路径遍历漏洞、一个websocket鉴权漏洞。
当前用户最可靠的安全措施之一是立即物理切断Web 管理面板与公网的访问连接。“升级到新版本”并不等于风险解除。目前无法确认新版本已覆盖全部修复点,仅依赖升级不能作为安全保证;在 Web 仍暴露公网的情况下仍可能被再次利用或二次入侵。
已被感染的用户应立即关闭公网访问,撤销端口映射/公网反代/暴露端口;仅允许内网访问,或使用 VPN/零信任网关进入内网后访问管理面;在网关处限制来源 IP(最小化暴露面)。之后在断网环境下清除与排查。
—— DNSPODT (含处置详情)
