（2026-02-01）

核心结论：本次为无需认证路径遍历→RCE的高危0day，已在野批量利用；官方已推1.1.15/1.1.18补丁，仅升级不够，需彻底清后门。

一、基础信息

- 漏洞名称：app-center-static 路径遍历0day

- 披露时间：2026-01-31 社区曝光，2026-02-01 官方推送补丁

- 影响系统：飞牛NAS fnOS（基于Debian Linux）

- 危害等级：Critical 最高危

- CVE编号：暂未分配

- 利用条件：无需登录、无需交互，公网暴露80/443即可批量扫描利用

二、漏洞原理与入口

- 漏洞入口： 

/app-center-static/serviceicon/myapp/{0}?size=../../../../ 

- 成因：后端对 size 参数未做路径规范化与过滤，可传入 ../ 及URL编码变体实现目录穿越，突破静态资源目录限制访问系统根目录任意文件

- 权限风险：Web服务以高权限运行，可读取 /etc/passwd / /etc/shadow 、配置密钥、用户存储，在可写目录写入脚本并触发，最终形成未授权远程命令执行(RCE)

- 典型Payload： 

curl http://[NAS-IP]/app-center-static/serviceicon/myapp/test?size=../../../../etc/passwd 

三、受影响版本

- 明确受影响：fnOS 1.1.8及更早版本、1.1.15之前所有版本

- 官方修复版：fnOS 1.1.15（首版补丁）、fnOS 1.1.18（迭代加固版）

- 补充风险：1.1.15-1493被反馈仍存在WebSocket命令注入（需登录，存在疑似认证绕过），接口为

 appcgi.dockermgr.systemMirrorAdd 

四、在野利用与攻击表现

- 攻击特征：批量扫描公网设备→秒级入侵→植入持久化后门→沦为僵尸节点，发起DDoS、内网扫描、数据窃取

- 入侵痕迹：

- 篡改启动脚本： /usr/trim/bin/system_startup.sh 注入远程下载执行代码

- 持久化：在 /usr/lib/systemd/system/ 注册伪装服务，设 immutable(i) 防删，开机自启

- 网络异常：连接数突增至20万+、全网掉线、DHCP失效、路由CPU打满、ARP广播风暴

- 恶意文示例例：

/tmp/turmp 

/sbin/gots

/usr/bin/dockers

等伪装名二进制与脚本

五、官方响应与修复

- 2026-02-01凌晨：全量推送fnOS 1.1.15安全更新，启动强制升级引导，封堵路径遍历入口

- 溯源：过去7天完成攻击链路逆向、样本与变种分析，更新阻断攻击链

- 披露说明：暂不公开完整利用细节，避免恶意扩散，遵循“修复后披露”流程

- 后续迭代：推送1.1.18增强版，补充检测与防护机制

六、风险与危害

- 数据层面：全盘文件泄露（系统配置、用户隐私、凭证明文/密文）

- 控制层面：整机被接管，植入持久化后门，重启不清除

- 网络层面：变为内网攻击源，拖垮局域网，成为DDoS肉鸡与横向渗透跳板

- 防护失效：启用HTTPS/强密码/2FA均无法抵御，属系统底层漏洞

七、应急处置与清理（关键）

- 紧急断网：关闭公网端口转发、DDNS、飞牛Connect，仅限内网访问，阻断扫描与C2通信

- 版本升级：内网环境升级至1.1.15及以上，优先1.1.18

- 后门清理（必做，仅升级不清除后门）：

1. 停止并禁用异常服务： 

systemctl stop SazW nginx dockers trim_pap sync_server && systemctl disable ... 

2. 移除不可修改属性： 

chattr -i /sbin/gots /usr/bin/dockers ... 

3. 删除恶意文件并重载systemd： 

rm -rf ... && systemctl daemon-reload 

4. 检查crontab、启动脚本、systemd服务，清除异常项

- 安全加固：公网访问改用VPN/加密隧道，启用防火墙与白名单，定期巡检进程、外连、计划任务、自启服务

八、信息来源与说明

- 来源：V2EX、NGA、CSDN安全复盘、中关村在线、太平洋科技等社区与媒体，2026-01-31至02-01集中披露

- 状态：已在野利用、官方已修复、后门需手动清理、无公开CVE、利用细节未完全公开