Synology har patchat flera kritiska sårbarheter i BeeStation OS efter att de utnyttjats offentligt under tävlingen Pwn2Own Ireland 2025. Bristerna, som tillsammans kallas Synology BeeStation zero-days, gjorde det möjligt för fjärrangripare att köra godtycklig kod på drabbade NAS-enheter.
Kritisk RCE-sårbarhet demonstrerad live
Den huvudsakliga sårbarheten, spårad som CVE-2025-12686, orsakades av ett buffertkopieringsfel som inte verifierade inmatningsstorleken. Denna svaghet gjorde det möjligt för forskare från det franska cybersäkerhetsföretaget Synacktiv att uppnå fjärrkörning av kod under den direktsända Pwn2Own-demonstrationen. Deras lyckade attack gav dem en belöning på 40 000 dollar och fick Synology att prioritera en säkerhetspatch.
Påverkade versioner och uppdateringar
Sårbarheterna påverkade flera versioner av BeeStation OS som används i konsumentinriktade NAS-system marknadsförda som personliga molnlagringsenheter. Synology uppmanar användare att uppgradera till BeeStation OS 1.3.2-65648 eller senare, eftersom ingen lösning finns för äldre versioner. Företaget betonade att snabb uppdatering är det enda sättet att skydda drabbade system.
Pwn2Own Ireland i bredare kontext
Pwn2Own Ireland 2025, som organiserades av Trend Micros Zero Day Initiative (ZDI), visade upp 73 zero-day-sårbarheter i populära konsumentenheter. Forskare vann tillsammans över 1 miljon dollar under den tre dagar långa tävlingen. Evenemanget belyser den växande betydelsen av etisk hacking för att avslöja kritiska säkerhetsbrister innan de kan utnyttjas av hotaktörer.
Bara några dagar innan Synology publicerade sin fix hanterade en annan NAS-tillverkare, QNAP, sju zero-day-sårbarheter som avslöjats under samma tävling. Dessa på varandra följande upptäckter understryker de pågående säkerhetsutmaningarna inom nätverksansluten lagring (NAS).
Ansvarsfull avslöjning och nästa steg
Enligt ZDI:s avtalsvillkor för sårbarhetsavslöjande förblir de tekniska detaljerna kring BeeStation-sårbarheterna konfidentiella tills Synology bekräftar att tillräckligt många användare installerat patchen. Organisationen planerar att publicera mer detaljerade rapporter när uppdateringen fått bred spridning. Säkerhetsforskare väntas också publicera tekniska analyser senare på sina bloggar.
Slutsats
Patchen för Synology BeeStation zero-days understryker det viktiga samarbetet mellan etiska hackare och leverantörer. Pwn2Own visar återigen hur proaktiv sårbarhetsforskning stärker cybersäkerheten i hela branschen. Användare uppmanas att uppdatera BeeStation OS omedelbart för att eliminera risken för fjärrkörning av kod.
0 svar till ”Synology åtgärdar BeeStation-sårbarheter som avslöjades under Pwn2Own Ireland”