这不赔钱么,我现在依旧能随随便便访问很多 nas ,哪有那么多人能及时看到公告并且升级,绝大多数依旧是老版本,都漏成筛子了,nas 里的所有数据随便看。那些免费用户不管就算了,那那些付费用他家穿透的用户也不管么?
 |
1
shuiduoduo 3 天前 via iPhone  13
人家压根不承认有漏洞
|
 |
2
haoshuaiwang 3 天前 via iPhone 2
初创公司,内部乱一团,根本不知道谁去负责怎么处理
|
 |
3
Solix 3 天前 2
坐等飞牛公司破产
|
 |
4
pingdog 3 天前 via Android 3
看了一圈,还未承认自带穿透有漏洞,都是用户自己将 http 映射到公网而受到攻击
|
 |
5
chonge2018 3 天前
是啊,搞不懂为什么 FNconnect 到现在还没关
|
 |
6
wula2333 3 天前 1
草台班子,没有法务,不懂怎么处理
|
|
7
chonge2018 3 天前
搞不懂为啥不把 FNconnect 先关了
|
 |
8
NewYear 3 天前
在官方论坛注册账号,一天一夜过去了,还没人审核账号……
这管理真的是…… |
 |
9
whitewash 3 天前 1
可能周末的缘故,好公司,不用员工加班
|
 |
10
Peek 3 天前 4
挺好的,年轻人第一次感受公网的危险性有多高
|
 |
11
isnullstring 3 天前
NAS 的管理端口根本不合适暴露公网,就像把 SSH 22 端口仅仅设个简单密码,这不是等着被爆破么?
openssl 都能出 0 日漏洞 |
 |
12
fstab 2 天前
@isnullstring #11
我也觉得,X86 刚出来的时候,玩了一段时间,用的二手的 j3455 搞都小主机,然后觉得费电就卖二手了 把 1T 的硬盘挂到台式机上面,基本也就存 200G-300G 数据,数据需求也不是很大。 后面 arm 公测,因为用的玩客云盒子刷 armbian 跑一些服务小服务,为了省电,就没把家里面闲置的 oect 和 oes 刷机,想着直接把 nas 管理端口暴露出来不安全,我还是比较相信 VPN 或者第三方的内网穿透,然后把 SSH 穿透出来再代理给浏览器,通过内网 IP 地址访问。 |
 |
13
bsder 2 天前
公网还有很多可以看的。
|
 |
14
missqso 2 天前
想问下,使用群晖的 quickconnect 会有同样的安全隐患吗?
|
 |
15
yinanc 2 天前 2
国产区即将迎来一波大更新(
|
 |
16
xyz5378 2 天前 1
@missqso 一样会被攻击,所以最好是不用这些官方或者是第三方的云端中继.
Pwn2Own 2022 多伦多大会上,Claroty Team82 团队展示的群晖 QC 攻击是一套完整的设备冒充 + 流量劫持 + 凭据窃取 + 远程代码执行攻击链,核心利用了 QC 服务的弱设备认证机制和本地信息泄露漏洞,将便捷的远程访问通道转化为完全控制 NAS 的入口。 这样直接可以进入到你的群晖了 具体内容可以在 B 站视频观看 2023 年的 blackhat 视频,标题:<利用云攻击面入侵任意的 NAS 设备>,同样被入侵的还有西数的 NAS 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. |
 |
17
stinkytofux 2 天前
@yinanc 上次国产区的大更新还是百度网盘泄露, 这一次恐怕很多冤种要出名了.
|
 |
18
f360967847 2 天前 1
我在自己的 NAS 根路径放了一个静态 index.html,别人手动进来可以看到我想对他说的话 哈哈哈
|
 |
19
alexhx 2 天前
@f360967847 改名成‘密钥.txt’,确保对面会打开看
|
 |
20
boboliu 2 天前 1
@xyz5378 #16
> 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. 并不是 https://www.synology.com/en-us/security/advisory/Synology_SA_22_23 |
 |
21
cloverzrg2 2 天前
不把用户的数据安全当回事。
这个漏洞在 12 月 23 日,就有用户上报了: https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 |
 |
22
nxuu 2 天前
再好的系统都可能会有漏洞 更何况大家的 nas 里面主要存放的都是不值钱的东西 值钱的东西肯定会有备份的,
|
 |
23
8675bc86 2 天前
这种漏洞,服务端修复一下应该就可以行了,客户端即使是低版本,应该也可以防住。不知道飞牛的这个 fn connect 架构是如何的?
|
 |
24
0044200420 2 天前
没有 sonarqube 之类安全扫描迟早重犯
|
|
25
haoshuaiwang 2 天前
@f360967847 6 啊 哈哈哈哈
|
|
26
isnullstring 2 天前
@fstab 对头,我的应用也是通过代理回去才能访问,一些小点的开源项目不会做花精力在安全上。
这样淘宝上买个 FRP 几块钱一个月,整个安全隧道,既安全又省事,VPS 都不带折腾 |
 |
27
windsound 2 天前
不要随便把内网暴露到公网,太危险。大佬们时时刻刻都在,被爆破真的只是凭缘分/
|
 |
28
lovelive1024 2 天前
简直离谱,内网穿透还是要慎重
|
Select Language