官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

据国内多家媒体报道，绿联NAS产品存在严重安全问题，此前该产品在上市之初还曾遭遇了下架风波。

据B站up主发现，绿联NAS系统控制面板中提供的两个域名的通配符证书，*.ugnas.cloud 和 *.ugnas.com，存在泄露用户私密数据的风险。对此绿联官方作出回应，称此问题仅存在于UGOS PRO体验账号中，并未在正式用户的设备上使用。

由于该事件在安全圈内引发热烈的讨论，接下来咱们就来梳理一下。

绿联NAS安全问题到底有多严重？

这里先简单介绍一下，什么是NAS。

NAS 即 Network Attached Storage，网络附属存储。NAS 是一种文件级存储架构，可使存储的数据更易于网络设备访问，是三种主要存储架构之一。NAS 的作用就好像一个塞了很多硬盘的电脑，里面有文件服务器和管理软件啥的，专用于储存、共享文件。连到自己的网上，你就可以搭建自己的“网盘”了。

该事件起因是哔哩哔哩 UP 主 @某摆烂闲鱼 发布的一条视频，指出绿联NAS存在严重的安全问题，可能会导致用户信息泄露。在视频里可以看到，绿联 NAS 在其系统控制面板中向用户提供 *.ugnas.cloud 和 *.ugnas.com 两个域名的通配符证书。如下图所示：

图片来源：蓝点网

但问题是，绿联竟然向所有用户公开了TLS 证书和私钥，用户只需要下载即可。。。

搞安全的同学看到这应该已经有点挠头了，有了证书和私钥，人人都可以部署恶意软件进行劫持，用户数据几乎没有任何安全性可言。最典型的莫过于发起 MiTM 中间人攻击来窃取账号和密码等敏感数据。

该消息公布之后引起安全人的广泛讨论。有人猜测绿联最初目的应该是为了方便用户使用，提高产品体验。

众所周知，通配符证书可以保护一个主域及其下一级的多个子域，且在提供安全保护的时候节省管理时间。通配符证书可以涵盖所有的子域名，相较于为每个子域名单独购买证书，购买一张通配符证书可以直接解决。验证了通配符证书之后，如果后续需要新增同级的子域名，无需重新审核，也不用额外付费，直接就可以扩展，非常方便。

但万万不该将私钥也全部面向用户公开下载，这岂不是人人都有一把防盗门的钥匙，即便防盗门再坚固也无任何作用。

据蓝点网报道，B站UP主把绿联 NAS 证书导入服务器进行中间人劫持测试，结果显示，测试结果有效，会对用户造成明显影响。在视频中，UP主成功劫持了自己的服务器，这就相当于遭受了DNS污染，将绿联NAS指向了恶意服务器。如果被别有用心的人利用，攻击是完全有可能实现的，用户会因此泄漏数据。具体如下所示：

图片来源：蓝点网

绿联NAS这波操作属实是有点迷，将证书和私钥全部公开给用户，不仅自身产品存在安全风险，同时也将绿联 NAS 用户置于风险之中。值得一提的是，由于上述问题并非一个严格意义上的安全漏洞，目前该证书风险点已经被封，因此不会引发后续的安全问题。

绿联官方回应

对于B站UP主揭露的问题，绿联官方也进行回应，称此问题仅存在于UGOS PRO体验账号中，并未在正式用户的设备上使用。

绿联表示，已定位到该问题属于体验账号，正式用户设备上没有这个证书，也不会用到这个证书和私钥，对正式用户不会有任何影响。

同时已经吊销该体验账号的证书，并称绿联 NAS 私有云团队非常重视并以力求保障用户数据安全，感谢对绿联 NAS 私有云的支持。

2024年 5 月，绿联科技推出了 NAS 私有云 DXP 系列九款新品，同时还带来了全新自研 NAS 系统 UGOS Pro，但新系统首发没有达到预期，存在部分 Bug 需要时间来修复，例如部分产品 CPU 温度显示异常与负载过高、部分用户账号注册异常等。

参考来源

https://baijiahao.baidu.com/s?id=1803874989838291782&wfr=spider&for=pc

https://mp.weixin.qq.com/s/jlBvhAC4ZFRtXbGooEVHrQ

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022