很多NAS用户都有一个致命误区:只要不把端口暴露公网,设备放家里局域网,就是绝对安全的。
但最近刚曝光的高危Linux内核漏洞,彻底打破了这个安全认知。真正可怕的网络攻击,从来都不只是外网入侵,更多是内网低权限账号,本地秒提权接管整机。
今天就给所有NAS玩家同步最新安全风险、漏洞原理,以及飞牛NAS专属一键修复方案,普通人也能轻松操作,快速堵上安全漏洞。
1. 漏洞核心:潜伏9年的高危内核漏洞,全网主流系统全中招
2026年5月8日,安全厂商曝光一枚高危Linux本地提权漏洞(QVD-2026-24699),风险等级拉满,CVSS高分评级,利用门槛极低,危害性极强。
· 不同于需要复杂攻击链路的漏洞,这枚漏洞的核心特点就是:门槛低、成功率高、危害极大。
· 该漏洞问题代码最早可追溯至2017年,整整潜伏近9年未被发现,几乎覆盖目前所有主流Linux发行版,Ubuntu、Debian、RHEL、SUSE等系统全部在影响范围内,而绝大多数NAS系统,均基于Linux内核开发,自然无法幸免。
2. 漏洞核心成因:Linux内核xfrm-ESP、RxRPC两大模块存在逻辑缺陷,攻击者可利用模块零拷贝操作漏洞,恶意写入内核页缓存,篡改系统核心程序,最终实现普通用户权限 → 最高Root管理员权限的提权攻击。
· 对NAS用户的致命风险,远比你想象的更危险
很多人疑惑:我只是家用NAS,不开外网映射,这个漏洞和我有关系吗?
答案是:关系极大,风险极高。
· 这枚漏洞的攻击核心是本地提权,无需公网IP、无需外网入侵,只要攻击者获取到设备的普通权限入口,就能发起攻击:
NAS SSH弱口令被破解、本地登录泄露
Docker容器被恶意入侵、容器逃逸
安装来路不明的第三方插件、脚本、应用
局域网内恶意设备扫描渗透
只要拿到任意普通用户Shell权限,攻击者就能借助该漏洞一键提权Root,完全控制你的NAS设备,窃取照片、文档、隐私数据,篡改系统配置,甚至植入后门木马。
3. 飞牛NAS专属修复方案,一键临时封堵漏洞
针对本次Dirty Frag内核漏洞风险,飞牛NAS已第一时间响应,推出临时安全规避方案,通过禁用存在漏洞风险的ESP、RxRPC内核模块,彻底切断漏洞攻击链路,不影响日常NAS存储、Docker、文件共享等核心功能。
官方后续会在新版系统中完成内核层面彻底修复,当前优先使用脚本应急防护即可,操作简单,全程一条命令搞定。
操作前提:获取NAS Root权限,通过SSH连接设备
一键禁用漏洞模块(防护命令)
curl https://static2.fnnas.com/aptfix/dirtyfrag-mitigate.sh | bash -s -- disable
运行成功后,系统会自动备份原有配置、卸载风险模块、写入黑名单规则,务必重启NAS设备,让防护规则永久生效。
如需恢复默认模块(后续系统更新后使用)
curl https://static2.fnnas.com/aptfix/dirtyfrag-mitigate.sh | bash -s -- enable
防护说明:该方案为安全规避手段,不会修补内核源码,但能彻底关闭漏洞攻击入口,完全满足家用、小型办公NAS的安全需求,新版系统更新后将彻底修复该漏洞。
4. 个人NAS安全终极建议,从根源规避风险
内核漏洞无法完全杜绝,但日常良好的使用习惯,能规避99%的攻击风险。结合本次漏洞,给所有NAS用户整理了落地可行的安全守则:
· 严控SSH访问,杜绝裸奔
非必要绝不开启SSH服务,需要调试时临时开启,用完立即关闭;绝对不要将SSH端口映射到公网,从源头阻断入侵入口。
· 关闭高危Root登录权限
日常使用普通用户账号登录系统,关闭SSH Root直接登录,避免账号泄露后直接被拿到最高权限。
· 规范Docker使用规则
禁止容器以特权模式运行,避免容器逃逸后借助内核漏洞提权控制宿主机;尽量使用正规镜像,不装小众、来路不明的镜像。
· 拒绝乱装第三方脚本/插件
很多恶意脚本会悄悄窃取权限、植入后门,不要为了小众功能,随意安装社区破解脚本、未知插件。
· 坚持跟进系统安全更新
及时升级NAS官方系统、内核补丁,官方修复推送后第一时间更新,修复底层漏洞隐患。
· 开启双重验证(2FA)
账号登录、后台管理尽量开启2FA二次验证,即便密码泄露,攻击者也无法直接登录系统。
NAS作为我们的私人数据仓库,存储着照片、文件、工作资料等核心隐私,安全永远没有“以后再说”。
不要因为是内网设备就放松警惕,当下的网络攻击早已趋向“低成本、本地化、高隐蔽”。本次9年潜伏漏洞也提醒我们:底层内核风险无处不在,及时做好应急防护,养成安全使用习惯,才能守住数据安全底线。
注:飞牛NAS会在下个版本修复这个漏洞,个人感觉基本不需要担心