5月8日,飞牛安全团队披露了一个 Linux 内核本地权限提升漏洞——Dirty Frag(QVD-2026-24699)。攻击者获取普通用户 shell 后,就能提权到 root。这意味着:如果你的 NAS 上跑了来路不明的 Docker 容器,或者把账号给了不可靠的人,攻击者可以完全控制你的系统。
好消息是:飞牛已发布官方修复方案,本文手把手教你修复。
一、这个漏洞是怎么回事
漏洞编号 QVD-2026-24699,源于 Linux 内核两个模块的逻辑缺陷:
这两个模块在处理特定场景时存在页缓存写入漏洞,攻击者利用普通用户权限就能完成本地提权。
但是别慌,这个漏洞的攻击路径很明确:先要拿到你的普通用户 shell。如果你的 NAS:
那直接中招的概率极低。
不过飞牛官方已表态,1.1.3103 版本会彻底修复。在补丁推送之前,我们可以先用官方提供的临时方案。
二、5 分钟修复:停用危险模块
前提条件
- 一台 Windows 10/11 电脑(macOS/Linux 也行,命令一样)
连接到 NAS
打开 CMD(Win+R → 输入 cmd 回车),输入:
ssh 用户名@NAS_IP
举个例子,你的 NAS IP 是 192.168.1.100,用户名是 root:
ssh root@192.168.1.100
第一次连接会提示:
Are you sure you want to continue connecting (yes/no)?
输入 yes 回车,然后输入密码(输入时不会显示字符,正常现象)。
执行修复
连接成功后,粘贴这条命令:
curl https://static2.fnnas.com/aptfix/dirtyfrag-mitigate.sh | bash -s -- disable
看到类似输出说明执行成功:
[ OK ] 模块已停用
重启 NAS 让生效
reboot
重启后漏洞即失效。可以通过以下命令验证模块状态:
# 查看模块是否已停用
cat /sys/module/esp4_socket/parameters/* 2>/dev/null || echo "模块已停用"
如果想恢复模块(后续官方补丁发布后)
curl https://static2.fnnas.com/aptfix/dirtyfrag-mitigate.sh | bash -s -- enable
三、这几个坑你可能遇到
连接被拒绝
ssh: connect to address 192.168.1.100 port 22: Connection refused
原因:NAS 没开 SSH
解决:fnOS 管理页面 → 系统设置 → 终端 → 开启 SSH
密码输入错误
Permission denied, please try again.
重新输入密码即可。如果忘了:
- 或使用 Web 终端登录后用
sudo passwd root 修改
命令执行后没反应
检查网络是否可达:
ping -c 3 static2.fnnas.com
如果 ping 不通,说明 DNS 或网关有问题,先解决网络问题再重试。
四、虚拟机里的 Linux 也要管
很多人容易忽略:fnOS 上的虚拟机也跑着独立的 Linux 系统,这个漏洞同样可能影响它们。
建议:
检查虚拟机内的 Linux 版本(SSH 登入虚拟机执行):
uname -r
cat /etc/os-release
如果虚拟机也基于 Debian/Ubuntu,同样可以执行官方修复脚本:
curl https://static2.fnnas.com/aptfix/dirtyfrag-mitigate.sh | bash -s -- disable
或者直接升级到最新版内核:
apt update && apt upgrade -y
五、防火墙配置:别让 NAS 裸奔
修复漏洞只是第一步,日常防护也很重要。飞牛 NAS 自带防火墙,说一下最关键的配置逻辑:
入站 vs 出站
- 入站(Inbound):外面的人想连进来,比如你用手机 App 访问 NAS
- 出站(Outbound):NAS 主动出去,比如更新系统、拉 Docker 镜像
推荐配置
| 方向 |
默认策略 |
说明 |
| 入站 |
拒绝 |
只开放必要端口,其他全部拒绝 |
| 出站 |
允许 |
更新、插件、拉镜像都要出去,卡太死自己麻烦 |
具体设置
- 入站规则:删除所有预设规则,只放行你确实需要的端口(比如 8090 管理页面、5005 WebDAV)
- 限制来源 IP:比如只允许国内 IP 访问,减少被扫描攻击的概率
注意:FN Connect 本身是通过 TCP+UDP 7200–7210 端口与官方服务器通信的,这些都是出站流量。如果出站规则设太严,FN Connect 会用不了。
六、后续关注
- 飞牛官方将在 1.1.3103 版本彻底修复该漏洞,收到系统更新提示后请第一时间更新
- 建议开启系统更新提醒,不要因为"能用就不更新"的心态错过安全补丁
总结
- 漏洞确实存在,但需要先获取普通用户 shell 才能利用,不必过度恐慌
没有修复的朋友抓紧时间操作一下,有问题欢迎评论区交流。
PS:如果你对防火墙配置还有疑问,可以参考飞牛论坛置顶的 防火墙配置教程[1],讲解很详细。
引用链接
[1]防火墙配置教程: https://club.fnnas.com/forum.php?mod=viewthread&tid=54945